Trojaner imitiert Windows-Aktivierung

Erpresserische Malware, so genannte «Ransomware», hat es in den letzten Jahren schon öfter gegeben. Bekannt wurde etwa der Schädling «GPcode", der wichtige Dateien verschlüsselte und nur gegen Zahlung eines Lösegelds wieder frei gab. Die neueste Variante dieser Malware-Kategorie gibt sich als Windows-Aktivierung aus.

Im Sunbelt Blog berichtet Tom Kelchner über den Schädling «Trojan-Ransom.Win32.Winac.A», den sein Kollege Adam Thomas untersucht hat. Dieses Trojanische Pferd blockiert Windows und behauptet, es handele sich um eine raubkopierte Version. Windows müsse aktiviert werden, bevor es der Anwender weiter benutzen könne. Das Opfer hat nur die Wahl die vermeintliche Aktivierung gleich oder später durchzuführen. Wer «später"»wählt, dessen Rechner startet neu - das Spiel geht in die nächste Runde.

Zur Aktivierung fordert der Schädling die Eingabe von E-Mail-Adresse und Telefonnummer sowie der Kreditkartendaten. Der Hinweis, die Kreditkarte würde nicht belastet, soll das Opfer wohl in Sicherheit wiegen. Sind alle Daten eingeben und übermittelt, läuft der Rechner wieder. Die eingegebenen Daten werden an ein Botnet übertragen, das sie den Cyberkriminellen zuspielt. Diese können, sofern gültige Daten eingegeben wurden, damit Einkaufen gehen oder die Daten weiter verkaufen.