Filenapping: Schädling erpresst Lösegeld für Dateizugriff

Sobald das Trojanische Pferd Trojan.Pgpcoder auf einem System gestartet wurde, sucht es auf Festplatten und angeschlossenen Netzwerklauferken nach den Dateitypen asc, db, db1, db2, dbf, doc, htm, html, jpg, pgp, rar, rtf, txt, xls und zip, um diese zu verschlüsseln, damit das Opfer die betreffenden Daten nicht mehr öffnen kann. Durch die Ausführung von Trojan.Pgpcoder trägt sich der Unhold zudem so in die Registry ein, dass er bei jedem Windows-Start automatisch geladen wird.

In Verzeichnissen mit von dem Trojanischen Pferd verschlüsselten Dateien wird eine Textdatei mit der Bezeichnung "ATTENTION!!!" angelegt. Darin befindet sich ein Text, der dem Opfer verspricht, gegen eine Zahlung von 200,- US-Dollar ein Entschlüsselungsprogramm zu erhalten, um die verschlüsselten Daten wieder öffnen zu können:

Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032

Da sich ein Trojanisches Pferd üblicherweise nicht von sich aus verbreiten kann, gelangt auch Trojan.Pgpcoder nur auf einen fremden Rechner, indem das Opfer den Schädling etwa aus dem Internet lädt oder den verseuchten Anhang einer E-Mail öffnet. Das Trojanische Pferd soll sich auch über eine seit Juli 2004 geschlossene Windows-Sicherheitslücke automatisch auf fremde Systeme laden, wenn entsprechend präparierte Webseiten mit dem Internet Explorer besucht werden.

Nach Auskunft mehrerer Hersteller von Antiviren-Software konnte sich der Unhold bislang kaum verbreiten. Durch die gefährlichen Schadroutinen geht aber dennoch eine Gefahr von dem Trojanischen Pferd aus. Außerdem zeigt Trojan.Pgpcoder, welche neuartigen Schadfunktion sich die Programmierer von digitalen Schädlingen haben einfallen lassen.

Für die meisten Virenscanner stehen aktualisierte Signaturdateien bereit, die den Schädling erkennen und unschädlich machen können.