Cerberus
24.04.2009, 18:38
Ein neuerartiger Trojaner schließt Anwender aus ihrem Windows-PC aus und fordert anschließend Lösegeld, das berichten mehrere Hersteller von Antivirensoftware. Nach Angaben von Dr. Web (http://www.drweb.com/) soll der Trojan.Winlock getaufte Schädling bislang nur im russischen Teil des World Wide Web kursieren und sich als Video-Codec tarnen. Per Download gelangt er auf den Rechner, den er so manipuliert, dass der Anwender beim Start nur einen (russischen) Dialog mit Hinweisen zum Freischalten sieht. Dazu soll das Opfer eine angezeigte Zahl an eine sogenannten SMS-Premiumnummer mit hohen Gebühren senden und erhält als Antwort den Freischaltcode.
To unlock you need to send an SMS with the text xxxxxxxxxxxxxx to the number
3649
Enter the resulting code:
Any attempt to reinstall the system may lead to loss of important information and computer damage
Anders als bei dem Verschlüsselungs-Trojaner GPCode und seinen Nachfolgern manipulierte Trojan.Winlock aber nicht die Dateien, sondern gewährt nur keinen Zugriff auf den Desktop und die Anwendungen. Mit einer Boot-CD käme man ohne Probleme an seine Dateien und könnte den Trojaner auch entfernen. Das dürfte aber vermutlich die Fähigkeiten vieler Anwender übersteigen, die dann auf die Schnelle ihr Glück mit einer SMS versuchen. Trend Micro spekulierte (http://trendmicro.mediaroom.com/index.php?s=43&item=700) bereits in seinem Annual Threat Report vom März über einen kommenden Anstieg der Erpressungs-Schädlinge und -Angriffe (Ransomware) ab dem zweiten Quartal dieses Jahres.
Der Algorithmus zur Berechnung des Freischaltcode soll allerdings sehr trivial sein. Dr. Web hat auf seinen Seiten praktischerweise ein Tool (http://news.drweb.com/show/?i=304&c=5) bereit gestellt, das aus den angezeigten Nummern den Freischaltcode berechnen soll.
Auch der derzeit grassierende Conficker-Wurm sperrt unter Umständen Anwender aus dem System aus. Allerdings fordert er bislang kein Lösegeld.http://www.heise.de/security/Trojaner-Geld-oder-Windows--/news/meldung/136608
To unlock you need to send an SMS with the text xxxxxxxxxxxxxx to the number
3649
Enter the resulting code:
Any attempt to reinstall the system may lead to loss of important information and computer damage
Anders als bei dem Verschlüsselungs-Trojaner GPCode und seinen Nachfolgern manipulierte Trojan.Winlock aber nicht die Dateien, sondern gewährt nur keinen Zugriff auf den Desktop und die Anwendungen. Mit einer Boot-CD käme man ohne Probleme an seine Dateien und könnte den Trojaner auch entfernen. Das dürfte aber vermutlich die Fähigkeiten vieler Anwender übersteigen, die dann auf die Schnelle ihr Glück mit einer SMS versuchen. Trend Micro spekulierte (http://trendmicro.mediaroom.com/index.php?s=43&item=700) bereits in seinem Annual Threat Report vom März über einen kommenden Anstieg der Erpressungs-Schädlinge und -Angriffe (Ransomware) ab dem zweiten Quartal dieses Jahres.
Der Algorithmus zur Berechnung des Freischaltcode soll allerdings sehr trivial sein. Dr. Web hat auf seinen Seiten praktischerweise ein Tool (http://news.drweb.com/show/?i=304&c=5) bereit gestellt, das aus den angezeigten Nummern den Freischaltcode berechnen soll.
Auch der derzeit grassierende Conficker-Wurm sperrt unter Umständen Anwender aus dem System aus. Allerdings fordert er bislang kein Lösegeld.http://www.heise.de/security/Trojaner-Geld-oder-Windows--/news/meldung/136608