Kleinvieh macht auch Mist

Oleg Zaitsev

Mobile Trojaner, die SMS an Premium-Nummern versenden; gefakte Antiviren-Software, die ‘Infizierungen’ auf dem Rechner entdeckt, für deren Entfernung sie anschließend Geld fordert; Ransomware, die die Funktion infizierter Systeme stört und für die Wiederherstellung der Funktionsfähigkeit Geld verlangt.
Alle diese Malware-Arten finden regelmäßige Beachtung und werden immer häufiger von uns gefunden und beschrieben.
Jetzt haben wir es mit einem Drei-in-eins-Paket zu tun, einem garstigen kleinen Programm namens Trojan.Win32.KillProc.am. Bisher sind uns drei Varianten dieser Malware bekannt und zwei von ihnen werden unter verschiedenen Bezeichnungen erkannt – Trojan-Ransom.Win32.BHO.a und .b.
Bei diesem Trojaner handelt es sich um ein Browser Helper Object, das den Internet Explorer angreift. Ist der Rechner infiziert, so gibt es beim Browserstart eine unangenehme Überraschung – anstelle der eigenen Startseite lädt der Browser einen Teil der russischen Microsoft-Seite, und zwar den Teil über Piraterie und legitime Software.
Selbst Leser, die des Russischen nicht mächtig sind, werden auf den ersten Blick erkennen, dass die unten abgebildeten Screenshots sich voneinander unterscheiden (derweil diejenigen, die des Russischen mächtig sind, mal wieder eine Möglichkeit haben, ihre Kenntnisse anzuwenden!).

Mobile Trojaner, die SMS an Premium-Nummern versenden; gefakte Antiviren-Software, die ‘Infizierungen’ auf dem Rechner entdeckt, für deren Entfernung sie anschließend Geld fordert; Ransomware, die die Funktion infizierter Systeme stört und für die Wiederherstellung der Funktionsfähigkeit Geld verlangt.
Alle diese Malware-Arten finden regelmäßige Beachtung und werden immer häufiger von uns gefunden und beschrieben.
Jetzt haben wir es mit einem Drei-in-eins-Paket zu tun, einem garstigen kleinen Programm namens Trojan.Win32.KillProc.am. Bisher sind uns drei Varianten dieser Malware bekannt und zwei von ihnen werden unter verschiedenen Bezeichnungen erkannt – Trojan-Ransom.Win32.BHO.a und .b.
Bei diesem Trojaner handelt es sich um ein Browser Helper Object, das den Internet Explorer angreift. Ist der Rechner infiziert, so gibt es beim Browserstart eine unangenehme Überraschung – anstelle der eigenen Startseite lädt der Browser einen Teil der russischen Microsoft-Seite, und zwar den Teil über Piraterie und legitime Software.
Selbst Leser, die des Russischen nicht mächtig sind, werden auf den ersten Blick erkennen, dass die unten abgebildeten Screenshots sich voneinander unterscheiden (derweil diejenigen, die des Russischen mächtig sind, mal wieder eine Möglichkeit haben, ihre Kenntnisse anzuwenden!).
Der erste Screenshot zeigt die Original-Microsoft-Seite, die Maßnahmen gegen Software-Piraterie und die Produkt-Aktivierungstechnologie des Unternehmens zum Inhalt hat.
Die zweite Seite ist gefälscht, der Text dieser Site ist im Body des Trojaners enthalten und ist selbstverständlich anderen Inhalts. (Wenn der Browser die gefälschte Website anzeigt, wird im Adressfenster dieselbe Adresse dargestellt wie auf der Originalseite.)
Wir haben es hier mit einem wirklich raffinierten Programm zu tun. Die beiden Seiten sind überaus ähnlich und selbst erfahrene User könnten darauf hereinfallen. Der graue Kasten in der Mitte der gefälschten Website enthält den folgenden Text:

Achtung: Ab dem5.11.2008 führt Microsoft die jährliche Zeichnung für den Gebrauch seiner
Internetbrowser durch. Ein Ein-Jahres-Abo kostet 30 Rubel.
Senden Sie eine SMS mit dem Text 4446 an die Nummer 165258436, um zu bezahlen
Geben Sie bitte den erhaltenen Code ein.
{Anm. d. Übers: Auf der Schaltfläche rechts steht das Wort ‘Aktvierung’].

Der Urheber dieses Trojaners ist also anscheinend eine russischsprachige Person, die versucht mit Bezahlung per SMS ein wenig Geld zu machen – ein unter Virenautoren derzeit sehr beliebter Ansatz. 30 Rubel sind keine große Summe – ungefähr 0,85 € – doch vor dem Hintergrund der Finanzkrise macht eben auch Kleinvieh Mist.
Was passiert, wenn ein Anwender den Unsinn mit dem Jahresabo glaubt und eine entsprechende SMS an die angegebene Nummer sendet? Selbstverständlich wird Geld von seinem Mobilkonto abgebucht. Aber es passiert noch mehr: Nach Eingabe des AKtivierungscodes funktioniert der Browser nicht mehr wie gewohnt und die Fehlermeldung ‘Vvedennyii kod neveren’ – Der eingegebene Code ist ungültig – wird eingeblendet. Diese Meldung ist in den Trojaner fest einprogrammiert, wie der unten abgebildete Screenshot zeigt.

 

Entweder programmiert der Autor verückten Code oder er hat einen verdrehten Sinn für Humor oder aber der hierfür Verantwortliche versucht einfach so viel Geld wie nur möglich zu machen. Denn anscheinend geht diese Person davon aus, dass ein User, der dumm genug ist, eine SMS zu schicken auch glauben wird, etwas sei bei der Aktivierung falsch gelaufen und daraufhin eine weitere, vielleicht sogar auch eine dritte SMS schickt, in der Hoffnung die Aktivierung doch noch erfolgreich durchführen zu können – und auf diese Weise immer mehr Geld in die Taschen des Virenautors spült!
Die einzigen Möglichkeiten, das System wieder in Ordnung zu bringen, bestehen darin, das infizierte System mit einem Antiviren-Proukt zu desinfizieren oder vom Internet Explorer zu einem anderen Browser zu wechseln.
Wir haben die Organisation kontaktiert, die die hier verwendete Kurznummer untervermietet und hoffen nun, dass sie diesen kriminellen Machenschaften einen Riegel vorschiebt.
Bis dahin wenden Sie sich bitte an Ihren Mobilfunkanbieter, wenn Sie diesem oder einem ähnlichen Trojaner zum Opfer fallen sollten. Vielleicht erstattet man Ihnen das verlorene Geld zurück.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.