Neue Version unterwegs

Gpcode-Virus erpresst wieder

Erneut geht eine Variante des Erpresservirus Gpcode um. Der Schädling verschlüsselt Daten und verkauft dem Besitzer anschließend den Schlüssel.

Der so genannte Erpresservirus "Gpcode" macht in größeren Abständen immer wieder von sich reden. Jetzt meldet der Antivirushersteller Trend Micro die Entdeckung einer neuen Variante. Wie schon die Vorläufer verschlüsselt auch diese Version Dateien auf dem Rechner des Opfers und versucht dann Geld für die Herausgabe eines Entschlüsselungsprogramms zu erpressen.

Wie Bernadette Irinco von Trend Micro im Malware Blog des Unternehmens berichtet, hat ihr Kollege Ivan Macalintal die neue Gpcode-Variante in freier Wildbahn entdeckt. Sie wird bei Trend Micro "TROJ_RANDSOM.A" genannt, abgeleitet von der Bezeichnung "Ransomware" für Malware, die ihre Opfer zu erpressen versucht. Der Schädling kann auf verschiedenen Wegen auf den PC gelangen. Teilweise wird er von anderer Malware installiert, die ihn entweder bereits mitbringt oder ihn aus dem Internet nach lädt. Gpcode kann jedoch als so genannter Drive-by Download beim Besuch einer entsprechend präparierten, aber unverdächtig erscheinenden Website auf dem Rechner landen.

Wird der von Trend Micro als Trojanisches Pferd eingestufte Schädling ausgeführt, zeigt er zunächst eine gefälschte Fehlermeldung an. Sie erinnert an ähnliche Meldungen von Windows und gaukelt dem Opfer vor, es sei bei der Ausführung eines Programm zu einem Fehler gekommen. Der Benutzer wird zum Schein aufgefordert einen Fehlerbericht an Microsoft zu senden.

Tatsächlich jedoch werkelt der Schädling heimlich weiter, während sich der Anwender noch über die Fehlermeldung wundert. Er legt im Programme-Verzeichnis einen Ordner "torn" an sowie eine harmlose Datei "errir.exe" im TEMP-Verzeichnis des Benutzerprofils. Außerdem erzeugt er die in Windows-Verzeichnis die Dateien "lsass.exe", "NeroDigit16.inf", "services.exe" und "UNINSTLV16.exe", die schädliche nCode enthalten, sowie die harmlose Datei "ulodb3.ini".

TROJ_RANDSOM.A durchsucht alle nicht schreibgeschützten Laufwerke nach Dateien und verschlüsselt diese. Die Dateien werden dabei umbenannt, indem sie die zusätzliche Endung ".XNC" erhalten. In jedem Verzeichnis mit verschlüsselten Dateien legt TROJ_RANDSOM.A eine Textdatei namens "READ THIS.TXT" an. Darin fordert der Programmierer sein Opfer dazu auf ein Entschlüsselungsprogramm zu kaufen. Er will dafür etwa 300 US-Dollar haben und gibt eine von mehreren Mail-Adressen an, über die das Opfer Kontakt mit ihm aufnehmen soll.

Der beste Schutz vor Datenverlust durch solche Schädlinge sind regelmäßige Backups auf ein nicht permanent angeschlossenes Medium, etwa eine USB-Festplatte. Zuletzt hatte der Antivirushersteller Kaspersky Lab im August eine neue Gpcode-Variante entdeckt, der aber als ungefährlich eingestuft wurde. (PC-Welt/mja)