Kaspersky: Neuer Gpcode nur heiße Luft

Vor drei Tagen wies Kaspersky auf eine neue Variante des Erpresservirus Gpcode hin. Der Autor behauptete, dass er starke Verschlüsselung benutzt, TecChannel berichtete. Nach genauerer Untersuchung kann der Hersteller von Sicherheits-Software dies nicht bestätigen. Der Schadcode verschlüsselt nicht wie behauptet mit AES-256, sondern mit einem 3DES-Algorithmus einer Delphi-Standard-Routine. All die Informationen zum Entschlüsseln von Dateien befinden sich somit in dem schadhaften Programm.

Die ganze Struktur des Trojaners sei ein wenig chaotisch. Es weise darauf hin, dass der Hersteller kein guter Programmierer sei. Kasperskys Sicherheitssoftware erkenne den Schadcode unter dem namen Trojan-Ransom.Win32.Gpcode. Weil der Schadcode im Huckepack mit anderer schädlicher Software kommt, sollen Anwender nicht verwundert sein, wenn P2P-Worm.Win32.Socks.fe auch gefunden würde. (jdo)