BitDefender warnt vor Potter-"Zaubertrick"
Der sechste Teil der Harry Potter-Reihe lockt derzeit Millionen von Besuchern in die Kinos. Für Cyberkriminelle ist der Hype um den jungen Magier allerdings ein gefundenes Fressen, warnte Sicherheitsexperte Bitdefender am Montag vor neuer Trojaner-Attacke.
Über einen Link im Internet wird für eine kostenlose Web-Vorführung von "Harry Potter und der Halbblutprinz" geworben. Sobald der Anwender jedoch dem Link folgt, installiert sich auf dessen Rechner die Schadsoftware Trojan.Downloader.PersonalAntivirus.A, so die Sicherheitsexperten von BitDefender. Dieser Schädling manipuliert den Rechner in erheblichem Umfang und lädt weitere Malware nach.
Der Weg ins Verderben
Die Verbreitung des Trojaners erfolgt in mehreren Schritten: Nach Betätigung des Links gelangt der Anwender anstatt zu dem Harry Potter-Film auf eine infizierte Website, woraufhin sich das Browserfenster umgehend minimiert und eine Warnmeldung erscheint. Diese informiert den User über mehrere Infektionen, von denen sein PC angeblich befallen ist.
Um die Glaubwürdigkeit der Meldung zu erhöhen, erscheint auf dem Bildschirm ein "Your Info-Panel", das dem User zusätzliche Details wie seine IP-Adresse und den genauen Standort des jeweiligen PCs in einem separaten Fenster anzeigt. Im Anschluss an die Warnmeldung wird dem Anwender ein kostenloses Sicherheits-Tool mit Namen "Personal Antivirus" offeriert, welches vermeintlich alle Infektionen mit sofortiger Wirkung beseitigt.
Alles nur billige Illusion und fauler Zauber
Ungeachtet, ob das Opfer den vermeintlichen Reinigungsvorgang mit "OK" bestätigt oder über "Cancel" den Vorgang abbrechen will, öffnet sich das vorher minimierte Browser-Fenster. In diesem läuft ein Fake-Video ab, das den angeblichen "Online-Scan-Prozess" zeigt. Nach zirka zehn Sekunden ist das Video abgeschlossen, und der User wird angewiesen, das "Personal Anti-Virus-Programm" zu installieren, das die angeblich mehr als 500 infizierten Dateien eliminieren soll.
Auch hier ist es unerheblich, ob der Anwender bestätigt oder ablehnt: Auf dem Desktop erscheint sofort eine weitere Meldung mit einem gefakten "Windows Security Alert". In Wahrheit handelt es sich jedoch um einen einfachen Screenshot, der als Auslöser für die Installation von Trojan.Downloader.PersonalAntivirus.A. dient. Diese Installation setzt der User, ungeachtet, wo er innerhalb des falschen Browserfensters hinklickt, automatisch in Gang – sofern er nicht über eine Antivirus-Lösung verfügt, die den Trojaner umgehend erkennt und blockiert.
Nach der Nistung holt der Trojaner Nachschub
Sobald sich der Trojaner auf dem Rechner befindet, versucht er, weitere neuartige Malware zu downloaden, die ebenfalls auf Basis der "Personal Antivirus"-Applikation aktiviert wird. Um unerkannt zu bleiben, deaktiviert der Trojaner zusätzlich den Windows Defender-Prozess. Überdies kompromittiert der Schädling den Computer, in dem er beispielsweise das Datum der Microsoft Windows-Installation nebst Windows-Seriennummer, den Default Browser Type, die Anzahl der laufenden Prozesse, den verfügbaren Speicherplatz auf der Festplatte sowie des RAMs und die Anzahl der installierten Programme manipuliert. Nach der Installation verlinkt das Schadprogramm sogar noch auf die offizielle Windows-Update-Thank-You-Webseite von Microsoft, um dadurch vorzutäuschen, dass sie von einer vertrauenswürdigen Stelle stammt.
Einmal in Aktion kennt der Schrecken kein Ende
Darüber hinaus werden durch die vermeintliche "Personal Antivirus-Lösung" die Einstellungen der Registry verändert und der Anwender beispielsweise durch Fehlalarme aufgefordert, Lizenzen zu verlängern oder zusätzliche Downloads auszuführen, die wiederum weitere Malware enthalten. Die Meldungen bleiben aus, wenn Seiten aufgerufen werden, die den Trojaner bereits in verschlüsselter Form enthalten.
© news.magnus
Zitieren