Ein aktuell kursierender Schädling zeigt falsche Fehlermeldungen an, um seine Opfer zum Kauf einer Sicherheitssoftware zu bewegen. Glücklicherweise lässt sich die Malware aber austricksen.
Derzeit ist eine Windows-Malware im Umlauf, die auf infizierten Rechnern einen Bluescreen simuliert und den Bildschirm sperrt. Sie beendet sich erst, wenn Opfer Geld für eine nicht existente Sicherheitssoftware überweisen. Außerdem fertigt sie einen Screenshot des Desktops – genauer: des Fensters im Vordergrund – an, um ihn an eine feste IP-Adresse zu verschicken. Das geht aus einem Blogeintrag eines Sicherheitsforschers von Malwarebytes hervor, der den von ihm entdeckten Schädling auf den Namen Troubleshooter getauft hat.
Aufheben der Bildschirmsperre soll 25 Dollar kosten
Troubleshooter soll sich als Installationsprogramm für nicht näher bezeichnete gecrackte Software tarnen, um auf Rechner zu gelangen. Nach Download und Ausführung lädt er mehrere Dateien nach, die unter anderem der Darstellung von Bluescreen und Warnhinweisen dienen. Sie enthalten auch die schon erwähnte Screenshot-Funktion, deren Nutzen bislang unklar ist. Eine der Dateien registriert sich als Windows-Dienst, um diverse Tastenkombinationen zu deaktivieren und so das Aufheben der Bildschirmsperre durch den Nutzer zu verhindern.
Im Anschluss an den Bluescreen erscheint ein Warnhinweis, der sich aufgrund der zuvor deaktivierten Hotkeys nicht schließen lässt. Er weist auf diverse angebliche Systemprobleme hin, um den Nutzer zum Kauf der fiktiven Sicherheitssoftware „Windows Defender Essentials“ für 25 Dollar zu überreden. Für Malware eher ungewöhnlich ist die Zahlungsweise per PayPal.
Es geht auch gratis: Trick zum kostenlosen Entsperren
Ein Nutzer, der sich tatsächlich zur Zahlung entschließt, würde im Anschluss auf eine Webseite weitergeleitet werden, die den Textstring „thankuhitechnovation“ enthält. Die Malware erkennt ihn mittels internem Abgleich, beendet sich selbst und lässt den Nutzer in dem Glauben, dass er das Problem tatsächlich durch den vermeintlichen Software-Kauf gelöst habe.
Auf diesem Ablauf fußt ein vom Sicherheitsforscher erdachter Workaround, der ganz ohne Zahlung auskommt. Er nutzt ein von den Troubleshooter-Machern wohl unbeabsichtigt eingebautes „Feature“: Die Eingabe der Tastenkombination Strg-O in die Zahlungsaufforderung der Malware öffnet nämlich ein Fenster, das dem Nutzer die manuelle Eingabe einer URL ermöglicht. So kann er die Webseite mit dem Textstring eigenständig ansteuern, den Betrügern die erfolgte Zahlung vorgaukeln und Troubleshooter dazu bringen, sich vollständig zu beenden.
Die von der Malware angelegten Dateien müssen Betroffene anschließend noch entfernen. Sie finden im Malwarebytes-Blog eine detaillierte Beschreibung des Workarounds samt Entfernungsanleitung.