Neue Version von Trojan.Hosts sperrt scheinbar Internetzugang und erpresst Geld
Der Antiviren-Software-Hersteller und Sicherheitsspezialist Doctor Web warnt vor einer massiven Verbreitung von http://vms.drweb.com/…„>Trojan.Hosts.5858, von dem in erster Linie Anwender aus der deutschsprachigen Region bedroht sind. Der Trojaner leitet das Opfer beim Aufrufen einer Webseite auf eine vorgeschobene Website weiter, auf welcher von einer angeblichen Sperrung des Internets aufgrund von Spam die Rede ist. Für die Entsperrung wird ein Lösegeld per Kreditkarte gefordert.
Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch http://vms.drweb.com/…„>BackDoor.Andromeda bereits infiziert sind. Vielfältige Vertreter dieser BackDoor-Familie können selbständig gefährliche ausführbare Dateien herunterladen. Zusammen mit Trojan.Hosts.5858 können auf einen anfälligen Computer andere Trojaner wie http://vms.drweb.com/…„>Trojan.Spambot.11349 und http://vms.drweb.com/…„>BackDoor.IRC.Aryan.1 gelangen.
Nachdem sich Trojan.Hosts.5858 ausgeführt hat, modifiziert er die hosts-Datei im Systemverzeichnis von Windows, die für die Zuordnung von Host-Namen zu IPs verantwortlich ist. Durch eine Zuordnung beliebter Websites wie Facebook, Google, Yahoo usw. zu ein und derselben IP in der hosts-Datei wird das Opfer auf eine spezielle Website weitergeleitet, wo ihm eine vermeintliche Sperrung seines Internetzugangs mitgeteilt wird. Die angebliche Entsperrung soll für 2 Euro durchgeführt werden, wofür die Betrüger sich die Kreditkartendaten des Opfers übermitteln lassen.
Pierre Curien von Doctor Web dazu: „Die Infektionswelle reißt nicht ab. Diesmal sind die deutschen Internetnutzer im Visier. Wir reagieren darauf und haben die Signatur für Trojan.Hosts.5858 in die Virendefinitionsdatei von Dr.Web bereits eingetragen. Somit kann der Trojaner erfolgreich aus dem System entfernt werden.“
Doctor Web rät dazu, bei erneuten Lösegeldforderungen, eine wiederholte Systemprüfung mit Dr.Web CureIt! durchzuführen oder die Datei Windows\System32\Drivers\etc\hosts zu editieren und unnötige Eintragungen zu löschen.
Firmenkontakt und Herausgeber der Meldung:
Doctor Web Deutschland GmbH
Rodenbacher Chaussee 6
63457 Hanau
Telefon: +49 (6039) 939-5414
Telefax: +49 (6039) 939-5415
http://www.drweb-av.de
Dateianlagen: