Update: GEMA-Scareware

Heute traf mich eine Neuauflage der bekannten GEMA-Scareware, die ich bereits in einem früheren Blog-Post beschrieben habe: Der Zugang zu Ihrem Computer wurde gesperrt. Viel hat sich auf den ersten Blick nicht geändert: Der Text ist etwas anders formatiert und das offizielle Logo von paysafecard ist verschwunden (Es wird aber immernoch über diesen Service abgerechnet.). Neu ist, dass die Scareware jetzt alle Benutzer belästigt und, was noch viel schlimmer ist, sie funktioniert auch im abgesicherten Modus. Glücklicherweise ist der befallene Rechner recht langsam, so dass es mir gelingt den Taskmanager aufzurufen und ich kann gerade noch erkennen, dass eine gema.exe mehrfach gestartet wird. Da der abgesicherte Modus ebenfalls betroffen ist, boote ich den Rechner von der Windows XP-Installations-CD und starte die Notfallkonsole. Ich finde die gesuchte Datei an vier verschiedenen Orten, einmal im Systemordner, dann im Profil aller Benutzer, die seit der Infektion angemeldet waren und im Standardprofilordner:

C:\Windows\System32\gema.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe
C:\Dokumente und Einstellungen\Verwaltung\Anwendungsdaten\gema\gema.exe

Ich kopiere mir ein Exemplar und lösche anschließend alle vier Funde. Nach dem Neustart kann ich mich wieder einloggen und durchsuche die Windowsregistrierung nach gema.exe. Hier eine kleine Auswahl prominenter Treffer:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema.

Prinzipiell kann jeder Schlüssel, der auf eine gema.exe verweist gelöscht werden; Einer muss  allerdings repariert werden. Unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

muss als Wert des Schlüssels wieder der Pfad zur C:\Windows\system32\userinit.exe mit einem abschließenden Komma eingetragen werden (siehe Bild).

Der Virencheck bei VirusTotal liefert zwei Treffer:

Comodo
TrojWare.Win32.Trojan.XPACK.Gen
DrWeb
HEUR:Trojan.DownLoader5.61021

Scareware: Der Zugang zu Ihrem Computer wurde gesperrt.

[Update: Hier noch eine neuere Variante der GEMA-Scareware]

Wieder erreicht mich ein Hilferuf zu einer Geiselnahme. Diesmal gibt sich der Erpresser als GEMA aus und erklärt: “Auf Ihrem Computer wurden illegal heruntergeladene Musikstücke (“Raubkopien”) gefunden.” Man hat nun die Möglichkeit das Lösegeld in Höhe von 50 Euro via paysafecard zu entrichten. Gut. Als erstes den Rechner im Abgesicherten Modus starten (F8 drücken vor dem Start von Windows). Im Profilordner des Benutzers unter

C:\Benutzer\<Benutzername>\AppData\Roaming

fällt mir schnell eine Datei mit dem nichts sagenden Namen k8rdift659c.exe auf, die sich mit dem GEMA-Logo als Icon schmückt. In der Windows-Registrierung unter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

findet sich Eintrag mit dem kryptischen Namen 7Rxb5FismTZydeX, der auf o. g. Datei im Profilordner verweist und für den Start der Scareware bei der Benutzeranmeldung sorgt. Nach dem Löschen der besagten Datei und dem Schlüssel aus der Registrierung konnte der Benutzer sich wieder wie gewohnt anmelden. Ein Check bei VirusTotal offenbart, dass diese Scareware recht neu ist; sie wird von lediglich 2 von 43 Scannern identifiziert:

AntiVir
TR/Crypt.XPACK.Gen2
Kaspersky
HEUR:Trojan.Win32.Generic

Update:

Ich habe den Rechner noch einmal unter die Lupe genommen und weitere Schlüssel in der Windows-Registrierung gefunden, die auf die Datei k8rdift659c.exe  verweisen:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Beide Einträge können bedenkenlos gelöscht werden.

Scareware: Aus Sicherheitsgründen wurde ihr Windowssystem blockiert.

Heute erreicht mich der Anruf eines aufgeregten Windows Nutzers: “Er könne nichts mehr machen, das System sei total blockiert.” Wie sich schnell herausstellte war sein Rechner von einer Scareware befallen, wie sie in letzter Zeit schon häufiger aufgetreten sind. Dieser Geiselnehmer erklärt, dass das “Computersystem [durch das besuchen von Seiten mit infizierten und pornographischen Inhalten] an einer kritischen Grenze angekommen” sei. Mas solle jetzt ein “zusätzliches Sicherheitsupdate herunterladen”, welchen selbstverständlich kostenpflichtig ist. Der Warnhinweis schmückt sich mit den Logos von Avira, Kasperski, McAfee und Microsoft. Also, frisch ans Werk. Wir laden dieses Update selbstverständlich nicht herunter, stattdessen booten wir den Rechner erst einmal im Abgesicherten Modus (Taste F8 mehrfach drücken, bevor Windows startet) und melden uns als Standardbenutzer an. In den Autostart-Ordnern findet sich, wie erwartet, nichts ungewöhnliches. In der Registry, unter

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

finden sich drei Einträge, von denen einer auf den Namen SkypeM hört und auf eine Datei innerhalb des Benutzerprofiles verweist

Lokale Einstellungen\Anwendungsdaten\Skype\Skype.exe

Das ist an sich schon ungewöhnlich. Der Benutzerversichert ausserdem Skype niemals installiert zu haben (Was auch stimmt). Verschieben der Datei Skype.exe und anschließendes Löschen des Registrierungsschlüssels SkypeM löst die Geiselnahme auf. Eine anschließende Analyse der Datei durch VirusTotal ergibt acht verschiedene Namen für diese Scareware:

AVG
SHeur4.UAQ 20120312
BitDefender
Gen:Variant.Kazy.60597
F-Secure
Gen:Variant.Kazy.60597
Fortinet
W32/Yakes.B!tr
GData
Gen:Variant.Kazy.60597
Microsoft
Trojan:Win32/Ransom.EJ
NOD32
Win32/LockScreen.AIG
Symantec
Suspicious.MH690.A
TheHacker
Posible_Worm32
VIPRE
Trojan.Win32.Generic!BT

Sucht euch einen aus!