Lockangebot für Harry Potter-Fans: BitDefender warnt vor neuem Zaubertrick der Cyberkriminellen

Holzwickede, 27. Juli 2009 – Der sechste Teil der Harry Potter-Reihe lockt derzeit Millionen von Besuchern in die Kinos. Für Cyberkriminelle ist der Hype um den jungen Magier allerdings ein gefundenes Fressen. Die jüngste „Hexerei“: Über einen Link im Internet wird für eine kostenlose Web-Vorführung von „Harry Potter und der Halbblutprinz“ geworben. Sobald der User jedoch dem Link folgt, installiert sich auf dessen Rechner die Schadsoftware Trojan.Downloader.PersonalAntivirus.A. Dieser Schädling manipuliert den Rechner in erheblichem Umfang und lädt weitere Malware nach. Die Anti-Malware-Lösungen von BitDefender erkennen den Trojaner und blockieren bzw. beseitigen ihn.

Ungeachtet, ob das Opfer den vermeintlichen Reinigungsvorgang mit „OK“ bestätigt oder über „Cancel“ den Vorgang abbrechen will, öffnet sich das vorher minimierte Browser-Fenster. In diesem läuft ein Fake-Video ab, das den angeblichen „Online-Scan-Prozess“ zeigt. Nach ca. zehn Sekunden ist das Video abgeschlossen, und der User wird angewiesen, das „Personal Anti-Virus-Programm“ zu installieren, das die angeblich mehr als 500 infizierten Dateien eliminieren soll. Auch hier ist es unerheblich, ob der Anwender bestätigt oder ablehnt: Auf dem Desktop erscheint sofort eine weitere Meldung mit einem gefakten „Windows Security Alert“. In Wahrheit handelt es sich jedoch um einen einfachen Screenshot, der als Auslöser für die Installation von Trojan.Downloader.PersonalAntivirus.A. dient. Diese Installation setzt der User, ungeachtet, wo er innerhalb des falschen Browserfensters hinklickt, automatisch in Gang – sofern er nicht über eine Antivirus-Lösung verfügt, die den Trojaner umgehend erkennt und blockiert.

Sobald sich der Trojaner auf dem Rechner befindet, versucht er, weitere neuartige Malware zu downloaden, die ebenfalls auf Basis der „Personal Antivirus“-Applikation aktiviert wird. Um unerkannt zu bleiben, deaktiviert der Trojaner zusätzlich den Windows Defender-Prozess. Überdies kompromittiert der Schädling den Computer, in dem er beispielsweise das Datum der Microsoft Windows-Installation nebst Windows-Seriennummer, den Default Browser Type, die Anzahl der laufenden Prozesse, den verfügbaren Speicherplatz auf der Festplatte sowie des RAMs und die Anzahl der installierten Programme manipuliert. Nach der Installation verlinkt das Schadprogramm sogar noch auf die offizielle Windows-Update-Thank-You-Webseite von Microsoft, um dadurch vorzutäuschen, dass sie von einer vertrauenswürdigen Stelle stammt.

Darüber hinaus werden durch die vermeintliche „Personal Antivirus-Lösung“ die Einstellungen der Registry verändert und der Anwender beispielsweise durch Fehlalarme aufgefordert, Lizenzen zu verlängern oder zusätzliche Downloads auszuführen, die wiederum weitere Malware enthalten. Die Meldungen bleiben aus, wenn Seiten aufgerufen werden, die den Trojaner bereits in verschlüsselter Form enthalten.

Alle BitDefender Anti-Malware-Lösungen erkennen den Trojaner zuverlässig und blockieren ihn.