Schwerpunkte

Warnung vor vermeintlichem Helfer

Hackerangriff tarnt sich als Bluescreen

01. Dezember 2017, 15:22 Uhr   |  Lars Bube

Hackerangriff tarnt sich als Bluescreen
© Malwarebytes

Eine neue Malware versucht Opfer auf besonders perfide Weise hinters Licht zu führen. Sie ahmt einen Bluescreen nach und fordert 25 Dollar für ein angebliches Sicherheits-Tool von Microsoft. Zum Glück lässt sich der Schädling leicht austricksen und entfernen.

Der Securityanbieter Malwarebytes warnt vor einer neuen Attacke auf Windows-Nutzer, die eine besonders fiese Tarnung nutzt. Um die Opfer auszutricksen, simuliert der Schädling »Troubleshooter« einen Bluescreen und blendet Fehlermeldungen ein, die für Laien so aussehen, als kämen sie direkt von ihrem Betriebssystem. Dabei bietet sie den Betroffenen auch die scheinbare Möglichkeit an, nach der Ursache des Problems zu suchen. Anschließend empfiehlt die Malware den Kauf des Tools »Windows Defender Essentials«, mit dem das Problem gelöst werden könne. Während der echte Windows Defender, der bis vor einigen Jahren noch Security Essentials hieß, von Microsoft gratis mit den aktuellen Betriebssystemen zur Verfügung gestellt wird, wird hier die Überweisung von 25 Dollar per Paypal gefordert. Nach Abschluss der entsprechenden Zahlung öffnet der Schädling dann eine Webseite und schaltet sich zumindest vorerst ab.

Da sich der Schadcode als Windows-Dienst einschreibt, kann er verhindern, dass die Nutzer ihn über den Taskmanager beenden. Dessen Aufruf wird, wie auch einige andere normalerweise per Shortcut erreichbare Funktionen blockiert. Zudem hat Malwarebytes beobachtet, dass Troubleshooter einen Screenshot des im Vordergrund geöffneten Fensters an eine fremde IP-Adresse verschickt. Wozu dieser dient, ist bislang nicht klar. Zum Glück haben die Angreifer jedoch schlampig gearbeitet, so dass sich der Schädling relativ einfach austricksen lässt, wie heise erklärt. Demnach muss man bei der Zahlungsaufforderung lediglich Strg+O drücken, wodurch sich ein neues Fenster öffnet. Gibt man dort die URL »hitechnovation.com/thankyou.txt« ein, die auch der Schädling selbst nach dem Bezahlvorgang ansteuert, erkennt er den dortigen Inhalt und geht somit davon aus, dass die Transaktion abgeschlossen wurde.

Anschließend sollte der Schädling dennoch unbedingt sofort entfernt werden. Wie das auch dann geht, wenn die eigene Antivirensoftware den fiesen eindringlich nicht erkennen und stoppen kann, beschreibt Malwarebytes in einer ausführlichen Schritt-für-Schritt-Anleitung. Als mögliche Infektionswege geben die Security-Spezialisten unter anderem den Download von gecrackter Software an, die den Schädling im Schlepptau hat.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Malwarebytes

IT-Security

Computerkriminalität