Trojaner erpresst PC-Nutzer mit verschlüsselten Dateien

Der von Panda Security herausgegebene Wochenrückblick konzentriert sich diesmal auf drei Internet-Bedrohungen. Auf die zwei Trojaner PGPCoder.E und NoFreedom.A sowie auf die Applikation Constructor/Wormer.

Der Trojaner PGPCoder.E erpresst infizierte Computer-Nutzer, indem er auf ihren Rechnern gespeicherte Daten verschlüsselt und diese erst bei Erhalt einer Geldsumme wieder “freigibt”. Davon sind unter anderem die Dateien mit den Endungen: .doc, .xls, .pdf, .txt, .jpg, .bmp. betroffen. Sie werden alle kodiert, sobald die Trojaner-Datei ausgeführt wird.

Zeitgleich öffnen sich für den Betrachter zwei Dateien. Die erste hat den Namen ‘i_READ_ME_!.txt’ und die zweite heißt wie der Trojaner mit einer .vbs-Erweiterung. Beide enthalten die Information, dass die Dateien des Anwenders verschlüsselt wurden. Um diese zu entschlüsseln und sie somit wieder lesbar zu machen, soll der Nutzer eine Nachricht an eine vorgegebene Mail-Adresse senden, um das entsprechende Tool zur “Rettung” seiner Daten zu erwerben.

NoFreedom.A ist der zweite Trojaner des vorgestellten Panda-Security-Wochenberichtes. Der Trojaner ist in der Datei ‘svch0st.exe’ versteckt. Wenn diese ausgeführt wird, baut er eine Verbindung zu YouTube auf und spielt ein Cartoon-Video ab. In der Zwischenzeit erstellt er verschiedene Dateien und Windows Registry Einträge. Die sorgen dann dafür, dass die Uhr in der Taskbar nicht mehr sichtbar ist und weder ein Abschalten noch ein Neustart des Rechners möglich ist. Auch der Taskmanager steht nicht mehr zur Verfügung.

In der vergangenen Woche konnten die Experten in den Panda Security Laboren
neben den zahlreichen Schädlingen auch ein Tool entdecken, welches ausführbare Dateien in Würmer umwandelt. Die mit dem Tool programmierten Würmer können mit verschiedenen Funktionen und Eigenschaften ausgestattet werden. So lassen sie sich beispielsweise mit dem freien Laufzeit-Packer UPX komprimieren, um normal – ohne vorherige Entpackung – ausgeführt werden zu können. Ebenso können verschiedene Icons ausgewählt werden oder MuteX-Verfahren aktiviert werden, mit denen ein ungestörter Zugriff auf Daten erfolgen kann.