Update: GEMA-Scareware

Heute traf mich eine Neuauflage der bekannten GEMA-Scareware, die ich bereits in einem früheren Blog-Post beschrieben habe: Der Zugang zu Ihrem Computer wurde gesperrt. Viel hat sich auf den ersten Blick nicht geändert: Der Text ist etwas anders formatiert und das offizielle Logo von paysafecard ist verschwunden (Es wird aber immernoch über diesen Service abgerechnet.). Neu ist, dass die Scareware jetzt alle Benutzer belästigt und, was noch viel schlimmer ist, sie funktioniert auch im abgesicherten Modus. Glücklicherweise ist der befallene Rechner recht langsam, so dass es mir gelingt den Taskmanager aufzurufen und ich kann gerade noch erkennen, dass eine gema.exe mehrfach gestartet wird. Da der abgesicherte Modus ebenfalls betroffen ist, boote ich den Rechner von der Windows XP-Installations-CD und starte die Notfallkonsole. Ich finde die gesuchte Datei an vier verschiedenen Orten, einmal im Systemordner, dann im Profil aller Benutzer, die seit der Infektion angemeldet waren und im Standardprofilordner:

C:\Windows\System32\gema.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe
C:\Dokumente und Einstellungen\Verwaltung\Anwendungsdaten\gema\gema.exe

Ich kopiere mir ein Exemplar und lösche anschließend alle vier Funde. Nach dem Neustart kann ich mich wieder einloggen und durchsuche die Windowsregistrierung nach gema.exe. Hier eine kleine Auswahl prominenter Treffer:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema.

Prinzipiell kann jeder Schlüssel, der auf eine gema.exe verweist gelöscht werden; Einer muss  allerdings repariert werden. Unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

muss als Wert des Schlüssels wieder der Pfad zur C:\Windows\system32\userinit.exe mit einem abschließenden Komma eingetragen werden (siehe Bild).

Der Virencheck bei VirusTotal liefert zwei Treffer:

Comodo
TrojWare.Win32.Trojan.XPACK.Gen
DrWeb
HEUR:Trojan.DownLoader5.61021

Scareware: Aus Sicherheitsgründen wurde ihr Windowssystem blockiert.

Heute erreicht mich der Anruf eines aufgeregten Windows Nutzers: „Er könne nichts mehr machen, das System sei total blockiert.“ Wie sich schnell herausstellte war sein Rechner von einer Scareware befallen, wie sie in letzter Zeit schon häufiger aufgetreten sind. Dieser Geiselnehmer erklärt, dass das „Computersystem [durch das besuchen von Seiten mit infizierten und pornographischen Inhalten] an einer kritischen Grenze angekommen“ sei. Mas solle jetzt ein „zusätzliches Sicherheitsupdate herunterladen“, welchen selbstverständlich kostenpflichtig ist. Der Warnhinweis schmückt sich mit den Logos von Avira, Kasperski, McAfee und Microsoft. Also, frisch ans Werk. Wir laden dieses Update selbstverständlich nicht herunter, stattdessen booten wir den Rechner erst einmal im Abgesicherten Modus (Taste F8 mehrfach drücken, bevor Windows startet) und melden uns als Standardbenutzer an. In den Autostart-Ordnern findet sich, wie erwartet, nichts ungewöhnliches. In der Registry, unter

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

finden sich drei Einträge, von denen einer auf den Namen SkypeM hört und auf eine Datei innerhalb des Benutzerprofiles verweist

Lokale Einstellungen\Anwendungsdaten\Skype\Skype.exe

Das ist an sich schon ungewöhnlich. Der Benutzerversichert ausserdem Skype niemals installiert zu haben (Was auch stimmt). Verschieben der Datei Skype.exe und anschließendes Löschen des Registrierungsschlüssels SkypeM löst die Geiselnahme auf. Eine anschließende Analyse der Datei durch VirusTotal ergibt acht verschiedene Namen für diese Scareware:

AVG
SHeur4.UAQ 20120312
BitDefender
Gen:Variant.Kazy.60597
F-Secure
Gen:Variant.Kazy.60597
Fortinet
W32/Yakes.B!tr
GData
Gen:Variant.Kazy.60597
Microsoft
Trojan:Win32/Ransom.EJ
NOD32
Win32/LockScreen.AIG
Symantec
Suspicious.MH690.A
TheHacker
Posible_Worm32
VIPRE
Trojan.Win32.Generic!BT

Sucht euch einen aus!