Keygen mit bösen Überraschungen

Programme zum Hacken kommerzieller Software erfreuen sich leider einer gewissen Beliebtheit. Auch Virenautoren haben sie für sich entdeckt und den Freunden von Gratissoftware einige Überraschungen ins System gelegt.

Vor Kurzem haben wir einen Trojan-Dropper entdeckt, der sich als Generator von Schlüsseln für Kaspersky-Lab-Produkte ausgibt. Die Datei heißt kaspersky.exe.

Nach dem Start der Datei erscheint auf dem Bildschirm ein Fenster des Schlüsselgenerators mit der Aufforderung, das zu hackende Produkt auszuwählen. Wurde ein Produkt markiert, beginnt das Programm einen Schlüssel zu generieren.

Fenster des laufenden Keygens

Während der Freund des Kostenlosen noch auf das Ergebnis wartet, machen sich auf seinem Computer bereits zwei andere Schädlinge zu schaffen, die von dem Dropper heimlich installiert und gestartet wurden.

Einen davon detektiert Kaspersky Lab als Trojan.MSIL.Agent.aor. Dieses Schadprogramm stiehlt die Registrierungsinformationen von anderen Programmen sowie Passwörter – im Wesentlichen für Online-Games – und sammelt die gestohlenen Daten sorgfältig in einer Datei. Ein Fragment dieser Datei ist auf dem unten stehenden Screenshot abgebildet.

Fragment der Datei, in der die Registrierungsdaten der entsprechenden Software gesammelt werden

Dieser Schädling ändert zudem die Systemdatei hosts und blockiert auf diese Weise den Zugriff auf einige Websites. So sind beispielsweise die Portale virustotal.com und virusscan.jotti.org, die einen Dateiscan durch verschiedene Antiviren-Unternehmen anbieten, für die Nutzer nicht erreichbar.

Fragment der geänderten hosts-Datei:

##Do not touch this file, changing it will cause SERIOUS damage to your computer
127.0.0.1 virustotal.com
127.0.0.1 www.virustotal.com
127.0.0.1 www.virusscan.jotti.org/
127.0.0.1 www.virusscan.jotti.org/en
127.0.0.1 www.virusscan.jotti.org/en

Der zweite vom Dropper installierte Schädling ist ein typischer Backdoor, der auch als Keylogger funktioniert und somit Informationen über die vom User auf dem Keyboard gedrückten Tasten sammelt. Von Kaspersky Lab wird er als Trojan.Win32.Liac.gfu detektiert.

Startet man also auf seinem Computer einen angeblichen Schlüsselgenerator für Kaspersky Internet Security, so fängt man sich unter Umständen einige ernstzunehmende Schädlinge ein, die KIS dann wiederum bekämpfen muss. Natürlich nur, wenn die generierten Schlüssel auch funktionieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.