Gefälschter Bluescreen: "Troubleshooter"

04.12.2017 Zurück

Ein aktuell kursierender Schädling zeigt falsche Fehlermeldungen an, um seine Opfer zum Kauf einer Sicherheitssoftware zu bewegen. Glücklicherweise lässt sich die Malware aber austricksen.

Derzeit ist eine Windows-Malware im Umlauf, die auf infizierten Rechnern einen Bluescreen simuliert und den Bildschirm sperrt. Sie beendet sich erst, wenn Opfer Geld für eine nicht existente Sicherheitssoftware überweisen. Außerdem fertigt sie einen Screenshot des Desktops – genauer: des Fensters im Vordergrund – an, um ihn an eine feste IP-Adresse zu verschicken. Das geht aus einem Blogeintrag eines Sicherheitsforschers von Malwarebytes hervor, der den von ihm entdeckten Schädling auf den Namen Troubleshooter getauft hat.

Troubleshooter soll sich als Installationsprogramm für nicht näher bezeichnete gecrackte Software tarnen, um auf Rechner zu gelangen. Nach Download und Ausführung lädt er mehrere Dateien nach, die unter anderem der Darstellung von Bluescreen und Warnhinweisen dienen. Sie enthalten auch die schon erwähnte Screenshot-Funktion, deren Nutzen bislang unklar ist. Eine der Dateien registriert sich als Windows-Dienst, um diverse Tastenkombinationen zu deaktivieren und so das Aufheben der Bildschirmsperre durch den Nutzer zu verhindern. Im Anschluss an den Bluescreen erscheint ein Warnhinweis, der sich aufgrund der zuvor deaktivierten Hotkeys nicht schließen lässt. Er weist auf diverse angebliche Systemprobleme hin, um den Nutzer zum Kauf der fiktiven Sicherheitssoftware "Windows Defender Essentials" für 25 Dollar zu überreden. Für Malware eher ungewöhnlich ist die Zahlungsweise per PayPal.

 

Quelle: heise.de