Trojan.Winlock.3846: Neuer Trojaner außerhalb von Russland

Trojaner blockiert Betriebssystem -Neue Malware-Welle zielt auf User in Westeuropa

(05.08.11) - Doctor Web warnt Anwender vor einer neuen Bedrohung durch die internationale Version des "Trojaners Trojan.Winlock.3846", der vor allem auf User außerhalb Russlands abzielt. Es ist noch keine Epidemie, aber schon die zweite Bedrohung dieser Art, die Doctor Web diesen Monat aufgedeckt hat.

Die Welle mit Trojan.Winlock-Malware, die zwischen Ende 2009 und Anfang 2010 sowie nochmals im 2010 Sommer russische PC-User erreichte, gehört der Vergangenheit an. Allerdings scheint es, dass die nächste Winlock-Bedrohung bevorsteht und sich diesmal vor allem außerhalb Russlands verbreitet. In Russland wurden Millionen User Opfer von Trojan.Winlock-Varianten. Dank des Unlock-Projektes von Doctor Web und der Zusammenarbeit zwischen Doctor Web und russischen Mobilfunkanbietern geht diese Bedrohung in Russland jedoch zurück.

Anders als der Trojaner Trojan.Winlock.3794, der nur in Russland entdeckt wurde, speichert die neue internationale Version des Schadprogramms in der Registry einen Link zu sich selbst unter HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/userinit, was beim Start von Windows bzw. der Benutzeranmeldung eine Rolle spielt. Gleich nach dem Start des Rechners wird das Betriebssystem infiziert und dadurch blockiert.

Anstatt der üblichen Windows-Oberfläche, zeigt der verseuchte Computer eine absurde Meldung über einen Prozessfehler an mit der Adresse 0x3BC3. Der User wird aufgefordert, eine Telefonnummer anzurufen, um das Problem zu beheben. Die Absicht der Kriminellen ist klar: Die User müssen eine teure Telefonnummer anrufen, um ihr Betriebssystem mit einem Code zu entsperren.

Die Besonderheit dieser Version des blockierenden Trojaners ist, dass der Programminhalt des Trojaners eine englische, französische oder russische Version je nach Windows-Lokalisierung enthält. Um das mit Trojan.Winlock.3846 verseuchte System vom Virus zu befreien, sollten die User folgende Nummer eingeben, die sie nach dem Telefonanruf erhalten: 754-896-324-589-742.

Doctor Web empfiehlt den Anwendern, keine aus unsicheren Quellen herunter geladenen Programme auf ihren Rechnern zu installieren sowie keine Anhänge aus Mitteilungen unbekannter Absender zu öffnen. Ebenso ist bei Mitteilungen von Web-Browsern, neue Module oder Plugins zu installieren, generelle Vorsicht geboten. Außerdem ist es sehr wichtig, einen effektiven Virenschutz zu verwenden. (Dr. Web: ra)