Erpresserischer Angriff

Ausgesprochen hinterlistig gehen der oder die Programmierer des Trojaners PGPCoder.A vor: Sie verschlüsseln Dokumente auf der Festplatte eines infizierten Computers und verlangen die Zahlung von 200 Dollar für ein Programm, das die Daten wieder lesbar machen soll.

Laut Informationen von Websense erfolgt eine Infektion auf folgendem Weg: Der Anwender surft mit einem ungepatchten Internet Explorer auf einer gefährlichen Website. Dank einem Sicherheitsloch im IE ist es möglich, das der Trojaner „download-aag“ heruntergeladen und ausgeführt wird. Dieser Schädling lädt seinerseits von einer anderen Website den eigentlichen Fiesling herunter, benennt diese Datei noch um und führt sie anschließend aus.

PGPCoder.A macht nun folgendes: Er trägt sich in den Autostart-Bereich der Registry ein und sucht auf dem PC und im lokalen Netz nach Dateien mit den Endungen ASC, DB, DB1, DB2, DBF, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, XLS oder ZIP. Diese ersetzt er mit unlesbaren Inhalten (ob es sich wirklich um eine Verschlüsselung handelt, ist anscheinend nicht bekannt). In jedem Verzeichnis mit einem manipulierten Dokument hinterlässt er eine Datei namens „Attention!!!.txt“ mit der Aufforderung 200 Dollar zu überweisen, um wieder an die Daten zu kommen.

Dank der umständlichen Verbreitungsmethode über relativ leicht unschädlich zu machende Webseiten dürfte PGPCoder.A nicht allzuviel Schaden anrichten. Vermutlich werden aber andere Virenschreiber die Methode kopieren und in ihren Schädlingen verwenden.

Auffallend ist außerdem, dass die Antiviren-Hersteller betroffenen Anwendern keine wirklich Hilfe anbieten wollen oder können. Alle von mir besuchten Seiten verweisen nur darauf, die Produkte des jeweiligen Anbieters zu installieren. Damit lässt sich vielleicht eine Neuinfektion verhindern bzw. der Trojaner entfernen, aber es findet sich kein Wort darüber, wie man wieder an seine Dokumente kommen kann … Das dürfte in den meisten Fällen aber das größte Problem der betroffenen Anwender sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.