MonaRonaDona

Im Laufe der letzten Woche stieg die Zahl so genannter MonaRonaDona-Malware sprunghaft an.

Ist MonaRonaDona auf einem System installiert, erscheint die folgende Meldung:

Das Schadprogramm beendet alle unten aufgeführten Anwendungen in der Windows Titelliste:

Date and Time
Windows Task Manager
Registry Editor
Irfanview
Google Talk
Macromedia
Adobe
Microsoft Visual
Windows Media Player
Winamp
Microsoft Office
Microsoft Excel
Microsoft Word
Messenger

Die IE-Titelliste enthält ebenfalls einen Verweis auf MonaRonaDona.

Derzeit ist noch nicht endgültig geklärt, wie das Schadprogramm ins System eindringt. Beim Erststart registriert sich das Programm lediglich selbst, um beim Booten von Windows automatisch geladen zu werden. Da zunächst keine Symptome einer Infizierung zu Tage treten, fällt es den Opfern hinterher schwer zu rekonstruieren, wie sie sich zum Zeitpunkt der Infizierung verhalten haben. Diese Merkmale scheinen darauf hinzuweisen, dass das Schadprogramm von Cyber-Hooligans entwickelt wurde, die ihren Spaß daran haben, die Opfercomputer zu schädigen. Bei genauerem Hinsehen offenbart sich allerdings ein ganz anderer Hintergrund.

Obgleich nicht auf den ersten Blick klar wird, dass der Computer infiziert ist, ist MonaRonaDona im Gegensatz zu den meisten aktuellen Schadprogrammen überaus sichtbar. Dahinter steckt ganz offensichtlich Absicht, denn der User soll dazu gebracht werden bei den Lieblings-Suchmaschinen nach weiteren Informationen zu MonaRonaDona zu forschen.

Gibt das Opfer nun den Namen des Schadprogramms ein, so wird ihm Folgendes angezeigt:

Oder bei Digg:

Was wiederum zu Folgendem führt:

Als ich zum ersten Mal auf dieses Schadprogramm traf, wurde es übrigens von keinem Antivirus-Produkt erkannt. Die auf dem Screenshot oben aufgeführten Antivirus-Lösungen kommen den meisten Usern allerdings sicherlich bekannt vor. Abgesehen natürlich von dem unbekannten Unigray-Antivirus.

Weiteres Nachforschen ergab erstens, dass die Site unigray.com erst seit zwei Wochen existiert. Ein erstes Alarmsignal.

Zweitens ist dieAntivirus-Datenbank überaus umfangreich – insbesondere für ein Produkt, das erst seit so kurzer Zeit verfügbar ist.

Interessanterweise ist der Wert “Anzahl der Einträge” in dem Produkt hardkodiert, beim Aktualisieren gibt das Programm jedoch immer die (falsche) Mitteilung aus, dass die letzten Updates installiert wurden. Ein weiteres Alarmsignal.

Weitere Recherchen ergaben, dass das Produkt nur die folgenden Schadprogramme detektiert:

Win32.CIH
BlazeFind
e2give
Hancer
Cydoor
PowerStrip
EliteBar
DyFuCa
2020Search
Aurora
Spy Trooper
SpySheriff
CoolWebSearch
W32.Gampxia!html
W32.Gampxia
W32.Imaut.CN
W32.Selex.B@mm
Win32.ch
MonaRonaDona

Das Programm löste fast 200 Mal Fehlalarm auf einem sauberen System aus und wählte dabei anscheinend aufs Geratewohl Schadprogrammnamen aus der obigen Liste aus. Selbst auf einem mit MonaRonaDona infizierten System verursachte der „Antivirus“ falschen Alarm, indem er saubere Dateien als MonaRonaDona identifizierte.

Es ist schon merkwürdig, dass eine neue Antivirus-Software ausgerechnet MonaRonaDona erkennt, während bewährte AV-Produkte nicht dazu in der Lage sind.

Eine eingehendere Analyse des Programms brachte zu Tage, dass es über nur eine Entfernungsroutine verfügt. Für welches Schadprogramm, ist nicht sonderlich schwer zu erraten. Richtig, MonaRonaDona! Unigray entfernt es für nur 39.90 Dollar. Meiner Meinung nach gibt es bessere Deals.

Vergleicht man den Code von MonaRonaDona mit dem von Unigray Antivirus, so stößt man auf sehr, sehr viele Gemeinsamkeiten. Es bleiben also kaum Zweifel, dass dieselbe Gruppe sowohl hinter MonaRonaDona als auch hinter Unigray steckt. Dieser Fall zeigt ganz klar, dass die Kriminellen ihre Social Engineering Methoden immer weiter verfeinern. Sie haben sich offensichtlich viel Mühe gegeben, um den User dazu zu bringen, ganz in ihrem Sinne zu handeln.

Kaspersky Lab klassifiziert MonaRonaDona als Trojan.Win32.Monagrey.a und Unigray Antivirus als not-a-virus:FraudTool.Win32.Unigray.a.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.