Scareware: Aus Sicherheitsgründen wurde ihr Windowssystem blockiert.

Heute erreicht mich der Anruf eines aufgeregten Windows Nutzers: „Er könne nichts mehr machen, das System sei total blockiert.“ Wie sich schnell herausstellte war sein Rechner von einer Scareware befallen, wie sie in letzter Zeit schon häufiger aufgetreten sind. Dieser Geiselnehmer erklärt, dass das „Computersystem [durch das besuchen von Seiten mit infizierten und pornographischen Inhalten] an einer kritischen Grenze angekommen“ sei. Mas solle jetzt ein „zusätzliches Sicherheitsupdate herunterladen“, welchen selbstverständlich kostenpflichtig ist. Der Warnhinweis schmückt sich mit den Logos von Avira, Kasperski, McAfee und Microsoft. Also, frisch ans Werk. Wir laden dieses Update selbstverständlich nicht herunter, stattdessen booten wir den Rechner erst einmal im Abgesicherten Modus (Taste F8 mehrfach drücken, bevor Windows startet) und melden uns als Standardbenutzer an. In den Autostart-Ordnern findet sich, wie erwartet, nichts ungewöhnliches. In der Registry, unter

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

finden sich drei Einträge, von denen einer auf den Namen SkypeM hört und auf eine Datei innerhalb des Benutzerprofiles verweist

Lokale Einstellungen\Anwendungsdaten\Skype\Skype.exe

Das ist an sich schon ungewöhnlich. Der Benutzerversichert ausserdem Skype niemals installiert zu haben (Was auch stimmt). Verschieben der Datei Skype.exe und anschließendes Löschen des Registrierungsschlüssels SkypeM löst die Geiselnahme auf. Eine anschließende Analyse der Datei durch VirusTotal ergibt acht verschiedene Namen für diese Scareware:

AVG
SHeur4.UAQ 20120312
BitDefender
Gen:Variant.Kazy.60597
F-Secure
Gen:Variant.Kazy.60597
Fortinet
W32/Yakes.B!tr
GData
Gen:Variant.Kazy.60597
Microsoft
Trojan:Win32/Ransom.EJ
NOD32
Win32/LockScreen.AIG
Symantec
Suspicious.MH690.A
TheHacker
Posible_Worm32
VIPRE
Trojan.Win32.Generic!BT

Sucht euch einen aus!