Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer Neuer Trojaner verbreitet sich über angeblich kostenlose Web-Version von „Harry Potter und der Halbblutprinz“

Neuer Trojaner verbreitet sich über angeblich kostenlose Web-Version von „Harry Potter und der Halbblutprinz“

Archivmeldung vom 27.07.2009

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 27.07.2009 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt

Der sechste Teil der Harry Potter-Reihe lockt derzeit Millionen von Besuchern in die Kinos. Für Cyberkriminelle ist der Hype um den jungen Magier allerdings ein gefundenes Fressen.

Die jüngste „Hexerei“: Über einen Link im Internet wird für eine kostenlose Web-Vorführung von „Harry Potter und der Halbblutprinz“ geworben. Sobald der User jedoch dem Link folgt, installiert sich auf dessen Rechner die Schadsoftware Trojan.Downloader.PersonalAntivirus.A. Dieser Schädling manipuliert den Rechner in erheblichem Umfang und lädt weitere Malware nach. Die Anti-Malware-Lösungen von BitDefender erkennen den Trojaner und blockieren bzw. beseitigen ihn.

Die Verbreitung des Trojaners erfolgt in mehreren Schritten: Nach Betätigung des Links gelangt der Anwender anstatt zu dem Harry Potter-Film auf eine infizierte Website, woraufhin sich das Browserfenster umgehend minimiert und eine Warnmeldung erscheint. Diese informiert den User über mehrere Infektionen, von denen sein PC angeblich befallen ist. Um die Glaubwürdigkeit der Meldung zu erhöhen, erscheint auf dem Bildschirm ein „Your Info-Panel“, das dem User zusätzliche Details wie seine IP-Adresse und den genauen Standort des jeweiligen PCs in einem separaten Fenster anzeigt. Im Anschluss an die Warnmeldung wird dem Anwender ein kostenloses Sicherheits-Tool mit Namen „Personal Antivirus“ offeriert, welches vermeintlich alle Infektionen mit sofortiger Wirkung beseitigt.

Ungeachtet, ob das Opfer den vermeintlichen Reinigungsvorgang mit „OK“ bestätigt oder über „Cancel“ den Vorgang abbrechen will, öffnet sich das vorher minimierte Browser-Fenster. In diesem läuft ein Fake-Video ab, das den angeblichen „Online-Scan-Prozess“ zeigt. Nach ca. zehn Sekunden ist das Video abgeschlossen, und der User wird angewiesen, das „Personal Anti-Virus-Programm“ zu installieren, das die angeblich mehr als 500 infizierten Dateien eliminieren soll. Auch hier ist es unerheblich, ob der Anwender bestätigt oder ablehnt: Auf dem Desktop erscheint sofort eine weitere Meldung mit einem gefakten „Windows Security Alert“. In Wahrheit handelt es sich jedoch um einen einfachen Screenshot, der als Auslöser für die Installation von Trojan.Downloader.PersonalAntivirus.A. dient. Diese Installation setzt der User, ungeachtet, wo er innerhalb des falschen Browserfensters hinklickt, automatisch in Gang - sofern er nicht über eine Antivirus-Lösung verfügt, die den Trojaner umgehend erkennt und blockiert.

Sobald sich der Trojaner auf dem Rechner befindet, versucht er, weitere neuartige Malware zu downloaden, die ebenfalls auf Basis der „Personal Antivirus“-Applikation aktiviert wird. Um unerkannt zu bleiben, deaktiviert der Trojaner zusätzlich den Windows Defender-Prozess. Überdies kompromittiert der Schädling den Computer, in dem er beispielsweise das Datum der Microsoft Windows-Installation nebst Windows-Seriennummer, den Default Browser Type, die Anzahl der laufenden Prozesse, den verfügbaren Speicherplatz auf der Festplatte sowie des RAMs und die Anzahl der installierten Programme manipuliert. Nach der Installation verlinkt das Schadprogramm sogar noch auf die offizielle Windows-Update-Thank-You-Webseite von Microsoft, um dadurch vorzutäuschen, dass sie von einer vertrauenswürdigen Stelle stammt.

Darüber hinaus werden durch die vermeintliche „Personal Antivirus-Lösung“ die Einstellungen der Registry verändert und der Anwender beispielsweise durch Fehlalarme aufgefordert, Lizenzen zu verlängern oder zusätzliche Downloads auszuführen, die wiederum weitere Malware enthalten. Die Meldungen bleiben aus, wenn Seiten aufgerufen werden, die den Trojaner bereits in verschlüsselter Form enthalten.

 Alle BitDefender Anti-Malware-Lösungen erkennen den Trojaner zuverlässig und blockieren ihn, lautet die Aussage der BitDefender GmbH .

Quelle: BitDefender GmbH

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte tunte in folgendes Feld um den Spam-Filter zu umgehen

Anzeige