PC Doktor Landshut - Osman Yener - Computer Vor Ort Service in und um Landshut - Computer Notdienst - Reparatur - Netzwerk - Überwachungskameras - Webdesign

Von einem besonders dreisten Trojaner (respektive Ransomware) berichten mehrere Antivirenhersteller: Er gaukelt dem Windows-Anwender einen Antipiraterie-Scanner auf dem System vor, der urheberrechtlich geschützte Dateien – vulgo Torrent-Dateien – auf dem Rechner entdeckt haben will. Dazu öffnet sich ein großes Fenster, das die Dateien auflistet und zugleich auch noch mögliche rechtliche Konsequenzen des Fundes für den Anwender erläutert. Der Trojaner gelangt in Zusammenhang mit Scareware-Seiten auf den Rechner, wobei das Opfer die Datei aber vermutlich selbst herunterlädt und installiert.

Auf deutschen Windows-PCs sollen die Texte in deutscher Sprache erscheinen. Vergrößern Nach Analysen des Bloggers Dancho Danchev sucht der Trojaner tatsächlich auf der Festplatte nach Torrent-Dateien und zeigt diese an. Darüber sollen die Dialoge sogar für mehrere Ländern lokalisiert sein, sodass die Texte unter anderem in deutsch, dänisch, niederländisch, französisch und italienisch erscheinen können.

Zwar lassen sich die Warnungen und Meldungen wegklicken, beim nächsten Starten nerven sie aber wieder. Zudem wechselt der Trojaner den Bildschirmhintergrund gegen ein Bild mit der Warnung "Warning! Piracy Detected" aus.

Im Namen einer angeblichen Copyright-Initiative "ICPP Foundation" schlägt der Trojaner eine außergerichtliche Einigung vor, in dessem Zuge der Anwender 400 Dollar zahlen soll. Andernfalls wolle man die angeblich auf dem PC gesammelten Daten an ein Gericht weiterleiten. Dort würden dann bei einer Verurteilung bis zu fünf Jahre Gefängnis und mehrere hunderttausend Dollar Strafe drohen.

Der Bildschirmhintergrund soll den Forderungen besonderen Nachdruck verleihen. Vergrößern Folgt man dem Vorschlag, 400 Dollar zu zahlen, so landet man auf einer vorgeblichen Seite der ICPP Foundation, auf der man per Kreditkarte den Betrag überweisen kann. Laut F-Secure steckt hinter der Seite jedoch nur ein System zum Sammeln von Kreditkartendaten; ein echtes Zahlungssystem sei damit nicht verbunden.

Der Trojaner soll sich laut F-Secure unter anderem als iqmanager.exe in C:\documents and settings\USERNAME\application data\IQManager\ einnisten. F-Secure erkennt den Trojaner als W32/DotTorrent.A

Microsoft warnt vor einer ungepatchten Sicherheitslücke im Internet Explorer 6 und 7, die bereits bei gezielten Angriffen aktiv ausgenutzt wird, um Windows-PCs mit Trojanern zu infizieren. Die Lücke beruht laut Microsoft auf nicht korrekt gelöschten Zeigern, die nach dem Freigeben von Objekten weiterhin ansprechbar sind. Dadurch soll sich eingeschleuster Code mit den Rechten des Anwenders ausführen von lassen. Der Fehler steckt in der Komponente iepeers.dll.

Die Redmonder beobachten die Lage – wie bereits bei der weiterhin ungepatchten F1-Lücke im Internet Explorer vom Anfang vergangener Woche – und untersuchen das Problem weiter. Nach Abschluss der Untersuchungen will man entscheiden, ob man einen außerplanmäßigen Patch veröffentlichen will. Da der Internet Explorer 8 nicht betroffen ist, empfiehlt Microsoft Anwendern, auf Version 8 zu wechseln. Zudem schützt zumindest der Protected Mode des Internet Explorer 7 unter Windows Vista davor, dass sich die Lücke ausnutzen lässt.

Alternativ können Anwender auch auf Firefox, Opera, Chrome oder Safari wechseln – allerdings weisen auch diese Browser des Öfteren Lücken auf, die jedoch nicht in dem Maße wie beim Internet Explorer ausgenutzt werden. Da Studien zufolge in den meisten Fällen jedoch Lücken in Reader- und Flash-Plugins von Adobe zur Infektion eines PCs über das Web ausgenutzt werden, spielt die gefühlte Sicherheit des Browsers allerdings eine geringere Rolle als früher.

Als Workaround empfiehlt der Hersteller zudem, die Zugriffsrechte auf die fehlerhafte Komponente iepeers.dll restriktiver zu setzen. Eine Anleitung dafür ist im Original-Bericht von Microsoft zu finden. Allerdings kann dies dazu führen, dass bestimmte Funktionen nicht mehr richtig arbeiten. Darüber hinaus soll laut Bericht das Deaktivieren von ActiveScripting und das Anschalten der Datenausführungsverhinderung (DEP) Schutz bieten.

Da Outlook, Outlook Express und Windows Mail HTML-Mails standardmäßig in der Zone eingeschränkter Seiten verarbeiten und somit ActiveScripting abgeschaltet ist, soll sich die Schwachstelle hier nicht ausnutzen lassen.