Gefälschte Sicherheitssoftware im Umlauf

Wie kürzlich in unserem Post über Identitätsdiebstahl durch Hacking besprochen, gibt es einige Wege, auf denen Malware Ihren Computer befallen kann.  Einer der häufigsten Infektionswege führt über einen Trojaner, der Sie zur Installation auffordert, indem er sich als nützliches Plugin oder nützliche Anwendung ausgibt.

Rogue Sicherheitssoftware ist eine Art Trojaner, der sich als Antiviren-Software ausgibt, und zur Zeit kursiert im Internet ein sehr nerviges Exemplar, das dem Protector Rogue im Jahr 2012 sehr stark ähnelt.

Der Protector Rogue hat seinen Namen vom Dateinamen protector-xxx.exe (wobei x für beliebige Buchstaben steht).  Diese Malware war sehr verbreitet, bis sie dann größtenteils im September letzten Jahres erfolgreich getilgt werden konnte.  Diese neue Version des Protector Rogue hat den Dateinamen guard-xxx.exe und den Registrywert GuardSoftware.

Da Hacker oftmals faul sind, verwenden sie meist neue Malware auf Grundlage alter Versionen, und GuardSoftware weist viele der Komponenten auf, die Protector hatte.  In der Tat ist selbst die GUI (grafische Benutzeroberfläche) trotz des Namenswechsels immer noch im Windows-XP-Stil.

Diese unveränderte GUI ist ein sicherer Hinweis für jeden, der ein neueres Betriebssystem als XP hat  Die Macher von GuardSoftware haben jedoch ein paar neue Finten implementiert, und genau deswegen funktioniert diese Malware.  Die Installationsroutine oder der Dropper hat eine gültige Signatur, was auf den ersten Blick einen vertrauenswürdigen Anschein erweckt und gewisse Formen von Erkennungsheuristiken umgeht.

Gleichzeitig verwendet GuardSoftware Hijacking-Techniken, die man bei vergleichbaren Rogue-Programmen so noch nie gefunden hat.  Nach der Installation startet GuardSoftware den Computer neu und blockiert Ihren Desktop mit einem Fenster, das „Scan läuft“ anzeigt.

Dieses Fenster soll Nutzer dazu verleiten, GuardSoftware Vertrauen zu schenken, und Sie können sogar den Scan durch „Deaktivieren“ in einem Optionsmenü anhalten.  Dieses angebliche Deaktivieren gibt den Desktop frei, hält jedoch nicht den Scan an.  Stattdessen läuft der angebliche Scan weiter im Hintergrund, und immer wieder sehen Sie Pop-up-Fenster, die Sie darauf hinweisen, dass Ihr Computer infiziert sei; all dies zielt darauf ab, Sie zum Kauf der Vollversion von GuardSoftware zu bewegen, indem Sie Ihre Kreditkartendaten in ein Fenster eingeben, das so aussieht:

GuardSoftware ist eines der ersten Rogue-Programme, die mit solchen Bildschirmblockaden arbeiten, die in der Vergangenheit Ransomware vorbehalten war.  Früher jagte Protector Rogue Nutzer einfach mit einschüchternden Nachrichten wie „IHR COMPUTER IST INFIZIERT“ oder „PROTECTOR HAT 136 VIREN AUF IHREM PC GEFUNDEN!!!“ Angst ein.  Wer auch immer hinter GuardSoftware steckt, hat wohl gemerkt, dass die meisten Computernutzer nicht mehr so leicht hinters Licht zu führen sind, was mehr Nachdruck erforderlich macht.

Diese Art von Rogue-Software verwendet eine Vielzahl von Namen, zum Beispiel Windows Expert Console, Windows Cleaning Toolkit und Windows Active Hotspot. Unten finden Sie ein paar SH1-Hashlisten für diesen Varianten:

•  FAAB416D4423F08337707D6FC15FA4ACA143D9BE
• 2966D9B0B7B27C1CA2FA46F93E26E82FBB7FE64C
• CB8B40EACC05C5D34396D70C9B9C1D931A780517

Glücklicherweise ist jeder, der eine Vollversion von Emsisoft Anti-Malware verwendet, gegen GuardSoftware gefeit.  Emsisoft Anti-Malware verfügt über eine Verhaltensanalyse, die dafür konzipiert wurde, Verhalten von Rogue-Software zu erkennen, wenn das menschliche Auge und andere Antiviren-Programme, die sich auf Erkennungsheuristik verlassen, versagen.  Emsisoft-Nutzer, die auf GuardSoftware stoßen, können eine unmittelbare Warnung auf Ihrem Bildschirm wie folgt sehen:

Unsere Empfehlung: das Programm umgehend blockieren und untersuchen, wo genau GuardSoftware gefunden wurde, damit der Kontaktpunkt vermieden werden kann und Sie Ihre Freunde warnen können.  In der Zwischenzeit behalten wir GuardSofware weiterhin im Auge, da es sich zwangsläufig weiterentwickelt.  Sollte es sich um etwas Vergleichbares wie seinen Vorgänger handeln, dann werden wir einige Zeit damit zu tun haben… aber letzten Endes wird auch es sein Ende finden. ;-)