Security

Erpressung auf Trojanisch

Cryzip heißt eine neu Art von Schädling, die sensible Daten des Opfers sperrt und erst gegen ein Lösegeld wieder freigeben will.

17.03.2006, 15:30 Uhr
Internetnutzung© adam36 / Fotolia.com

"Ihr Computer hat sich unsere Software eingefangen, während Sie nach illegalen Pornoseiten suchten. All Ihre Dokumente, Text-Files, Datenbanken wurden mit einem ausreichend langen Passwort archiviert." Mit diesem Erpressertext (dt. Übersetzung d. Red.) meldet sich ein Trojaner bei dem Benutzer eines infizierten Computers. Cryzip heißt der Schädling und wurde am 11. März entdeckt.
Alte Masche
Der erste Fall dieser Art von "Erpresser-Malware" ereignete sich schon 1989, als der Trojaner "AIDS" die am Laufwerk "C:" hängende Festplatte eines Windows-Computers archivierte und 378 US-Dollar für die Freigabe forderte. Ein ähnlicher Schädling namens "PGPcoder" trieb im Mai 2005 sein Unwesen. Cryzip arbeitet nach einem vergleichbaren Prinzip, benutzt jedoch - nicht wie PGPcoder - ein eigenes Kryptoschema, sondern einfache Zip-Dateien und deren Passwortschutz.
Einmal ausgeführt, durchsucht das Programm das gesamte Laufwerk C: bis auf die Ordner "System" oder "System32". Dateien mit Endungen wie ".doc", ".txt", ".rar" oder ".pdf" werden in einer ZIP-Datei archiviert und dann gelöscht. Zurück bleiben die verschlüsselten Archive mit dem Originalnamen und dem Zusatz "_CRYPTY.ZIP". Nach der Verschlüsseulng aller Daten hinterlässt das Programm ein Textfile mit dem Namen "AUTO_ZIP_REPORT.TXT".
Leere Drohung
"Wenn Sie sich wirklich um Ihre Dokumente und Informationen in den verschlüsselten Dateien sorgen, können Sie 300$ in elektronischem Geld bezahlen", steht in dem Erpressser-Schreiben. Weiter heißt es: "Das Passwort für die archivierten Dateien können Sie nicht raten (...) Die Polizei über den Fall zu informieren wird Ihnen nicht helfen, sie kennen das Passwort nicht." Darauf folgt eine Schritt-für-Schritt Anleitung zum Erstellen eines "e-gold"-Kontos, um die 300 US-Dollar auf ein Konto beim gleichen Dienstleister zu überweisen.
Doch es gibt eine andere Möglichkeit: Das Passwort für die gezippten Dateien hat der Autor der Malware leichtfertig unverschlüsselt in der Programmbibliothek des Trojaners (Cryzip.dll) integriert. Der Autor vertraute offenbar darauf, dass es auf Grund seiner Einfachheit übersehen wird. "C:\Program Files\Microsoft Visual Studio\VC98" lautet der Eintrag, der oft in Projekten, die mit Visual C++ 6 kompiliert sind, erscheint. Da das Programm in C++ geschrieben ist, dachte der Autor wohl, dass der String beim Lesen nicht als Passwort identifiziert werden würde.

(Philip Meyer-Bothling)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang