Windows-Malware sperrt Bildschirm
Es ist eine neue Windows-Malware, die auf infizierten Rechnern einen Bluescreen simuliert und den Bildschirm sperrt, wie heise.de unter Berufung auf Sicherheitsforscher von Malwarebytes berichtete. Dem Opfer wird deutlich gemacht eine nicht existente Sicherheitssoftware zu erwerben. Daneben fertigt die Software einen Screenshot des Desktops – genauer: des Fensters im Vordergrund – an, um ihn an eine feste IP-Adresse zu verschicken, wie die Sicherheitsforscher von Malwarebytes analysierten.
Infektion via Installationsprogramm
Troubleshooter soll sich als Installationsprogramm für nicht näher bezeichnete veränderte Software tarnen, um auf Rechner zu gelangen. Einmal auf den Rechner gelangt, lädt er mehrere Dateien nach, die unter anderem der Darstellung von Bluescreen und Warnhinweisen dienen. Daneben enthalten sie auch die bereits erwähnten Screenshot-Funktionen. Eine der Dateien registriert sich als Windows-Dienst, um diverse Tastenkombinationen zu deaktivieren und so das Aufheben der Bildschirmsperre durch den Nutzer zu verhindern.
Ein Warnhinweis, der sich nicht schließen lässt, erscheint nach dem Blueescreen. Darin heißt es , dass es Systemprobleme gäbe und diese nur mit dem Kauf der fiktiven Sicherheitssoftware "Windows Defender Essentials" für 25 Dollar zu beheben sei. Für Malware eher ungewöhnlich ist die Zahlungsweise per PayPal.
Wie man gratis entsperren kann
Wie es dazu heißt, wird ein Nutzer, der sich tatsächlich zur Zahlung entschließt auf eine Webseite weitergeleitet werden, die den Textstring "thankuhitechnovation" enthält. Die Malware erkennt ihn mittels internem Abgleich, beendet sich selbst und lässt den Nutzer in dem Glauben, dass er das Problem tatsächlich durch den vermeintlichen Software-Kauf gelöst habe.
Sicherheitsforscher haben damit eine Lösung des Problems, also ein Workaround, auch ohne Zahlung erdacht. Hierbei wird ein von den Troubleshooter-Machern wohl unbeabsichtigt eingebautes "Feature"genutzt: Die Eingabe der Tastenkombination Strg-O in die Zahlungsaufforderung der Malware öffnet nämlich ein Fenster, das dem Nutzer die manuelle Eingabe einer URL ermöglicht. So kann er die Webseite mit dem Textstring eigenständig ansteuern, den Betrügern die erfolgte Zahlung vorgaukeln und Troubleshooter dazu bringen, sich vollständig zu beenden.
Die von der Malware angelegten Dateien müssen Betroffene anschließend noch entfernen. Sie finden im Malwarebytes-Blog eine detaillierte Beschreibung des Workarounds samt Entfernungsanleitung.
Weiterführende Links:
Blogeintrag Malwarebytes: Removal instructions for Troubleshooter
heise.de: Gefälschter Bluescreen: "Troubleshooter"-Malware zockt Windows-Nutzer ab
