Update: GEMA-Scareware

Heute traf mich eine Neuauflage der bekannten GEMA-Scareware, die ich bereits in einem früheren Blog-Post beschrieben habe: Der Zugang zu Ihrem Computer wurde gesperrt. Viel hat sich auf den ersten Blick nicht geändert: Der Text ist etwas anders formatiert und das offizielle Logo von paysafecard ist verschwunden (Es wird aber immernoch über diesen Service abgerechnet.). Neu ist, dass die Scareware jetzt alle Benutzer belästigt und, was noch viel schlimmer ist, sie funktioniert auch im abgesicherten Modus. Glücklicherweise ist der befallene Rechner recht langsam, so dass es mir gelingt den Taskmanager aufzurufen und ich kann gerade noch erkennen, dass eine gema.exe mehrfach gestartet wird. Da der abgesicherte Modus ebenfalls betroffen ist, boote ich den Rechner von der Windows XP-Installations-CD und starte die Notfallkonsole. Ich finde die gesuchte Datei an vier verschiedenen Orten, einmal im Systemordner, dann im Profil aller Benutzer, die seit der Infektion angemeldet waren und im Standardprofilordner:

C:\Windows\System32\gema.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gema\gema.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe
C:\Dokumente und Einstellungen\Verwaltung\Anwendungsdaten\gema\gema.exe

Ich kopiere mir ein Exemplar und lösche anschließend alle vier Funde. Nach dem Neustart kann ich mich wieder einloggen und durchsuche die Windowsregistrierung nach gema.exe. Hier eine kleine Auswahl prominenter Treffer:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gema.

Prinzipiell kann jeder Schlüssel, der auf eine gema.exe verweist gelöscht werden; Einer muss  allerdings repariert werden. Unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

muss als Wert des Schlüssels wieder der Pfad zur C:\Windows\system32\userinit.exe mit einem abschließenden Komma eingetragen werden (siehe Bild).

Der Virencheck bei VirusTotal liefert zwei Treffer:

Comodo
TrojWare.Win32.Trojan.XPACK.Gen
DrWeb
HEUR:Trojan.DownLoader5.61021

Ein Gedanke zu “Update: GEMA-Scareware

  1. Pingback: Scareware: Der Zugang zu Ihrem Computer wurde gesperrt. | Hirnablage

Kommentar verfassen