Über eine besonders perfide Version des GVU – Trojaners berichtet derzeit heise.de. Die aktuelle Version überlagert den Desktop nach der Anmeldung des infizierten Benutzers mit einer Warnmeldung, der Zugang zum PC sei "vorläufig" gesperrt worden.
Man möge 100 Euro per PaySafeCard einzahlen, um wieder Zugriff auf den Rechner zu erhalten. Der Erpressungstrojaner sperrt den Computer komplett. Trotz Foto von Angela Merkel und Interpol-Logo ist das natürlich keine Aktion echter Strafverfolgungsbehörden. Der Trojaner behauptet, vom "Bundesamt für Sicherheit in der Informationstechnik", von der "Gesellschaft zur Verfügung von Urheberrechtsverletzungen e.V." (sic) und vom "BundesKriminalamt" zu stammen. Auf einem befallenen Rechner mit Windows 7 (64-Bit) stand zusätzlich "Unterstützt und Geschützt von", gefolgt vom Norton-Symbol. Das war besonders bitter, weil auf dem fraglichen Rechner tatsächlich Norton AntiVirus installiert war. Tatsächlich erkannten auf VirusTotal gestern nur 5 von 45 Scan-Engines die hochgeladene Malware als Trojaner. Der Trojaner verhindert einen Systemstart im abgesicherten Modus, indem er den Rechner direkt wieder herunterfährt. Er trägt sich in der Registrierungsdatenbank als Shell ein und lässt sich nicht durch Werkzeuge wie dem Kaspersky Windows Unlocker oder HitmanPro.Kickstart entfernen. Das einzige, was noch geht, ist der "Affengriff" Strg+Alt+Entf. Hiermit kann man sich gegebenenfalls abmelden, um ein anderes, hoffentlich unbefallenes Benutzerkonto zu aktivieren. Heise Security gelang es, den Trojaner beim Start über den Task-Manager zu beenden und per Autoruns den Shell-Eintrag zu löschen (unter WinlogonShell) sowie den Trojaner selbst Der Name des Trojaners lautete "cache.dat", er lag im Ordner für Anwendungsdaten (%appdata%). Heise rät weiterhin, nach der Beseitigung des Schädlings unbedingt alle Systemwiederherstellungspunkte zu löschen, um sich den Trojaner später nicht auf diesem Weg wieder einzufangen, den Temp-Ordner mit der Datenträgerbereinigung leeren und einen Komplettscan ihres Systems anstoßen, um mögliche Reste der Malware zu entfernen. Den sollte man sicherheitshalber in einigen Tagen mit neuen Signaturen der AV-Hersteller wiederholen. Auf Nummer sicher geht, wer sein System neu einrichtet.
