- Werbung -

Vorgeschichte

Von einem - in Computerfragen nicht SOO beschlagenen - Bekannten zu Hilfe gerufen, erfuhr ich von der folgenden Geschichte, die ich so frech finde, dass ich mal darüber berichten muss.

Die "Tat"

Während er mit seinem PC arbeitete, erschien "plötzlich" ein Bildschirm, der ihn darüber "informierte", dass sein Windows-10-Rechner ein massives Problem habe, was aber lösbar sein, wenn er die ebenfalls angegebene Telefonnummer anrufe. Dies tat er tatsächlich, hatte einen nicht ganz akzentfrei Deutsch sprechenden Menschen am Telefon, der ihm sagte, er könne das Problem per Fernwartung lösen. Voraussetzung sei allerdings, dass ein bestimmter Betrag auf sein Konto überwiesen werde.

Dies tat mein Bekannter, und wurde tatsächlich daraufhin telefonisch zurück gerufen. Per Fernwartung inspizierte nun sein Gegenüber den PC, spielte ihm "Rettungssoftware" sowie vier Skripte zur "erhöhten Systemsicherheit" darauf, die per Symbol vom Desktop aus gestartet werden konnten. Sie hießen in etwa: "Netzwerk Sicherheit", "Hacker Sicherheit", "Firewall Sicherheit" und so weiter. Rief er ein solches Skript auf, erschienen viele - zum Teil bunte - Meldungen auf dem Bildschirm; den Schluss bildete jeweils eine Erfolgsmeldung.

Diverse Aktualisierungsanfragen ihm nicht bekannter Software brachte ihn dann dazu, mich anzurufen.

Aufarbeitung und Analyse

Als Erstes lud ich die kostenlose Software "Malwarebytes" von malwarebytes.org herunter und ließ sie laufen. Malwarebytes ist ein permanent gepflegtes Tool was zuverlässig "Malware", also schädliche Software, erkennt. In den ersten 14 Tagen läuft es auch in einer Premiumversion, die zum Beispiel auch Rootkits erkennen kann. Danach kann man es als Erkennungstool für schädliche Software auch kostenlos weiter benutzen. Bei jedem Aufruf aktualisiert es erst einmal seine interne Datenbank. Möchte man die Premium-Version weiter nutzen, wird sie kostenpflichtig. Die Software scannt erst einmal den Speicher, dann die Startdateien, die Registry und schließlich das gesamte Dateisystem. Anschließend erfolgt eine "heuristische Analyse", mit der auch bisher unbekannte Schädlinge aufgespürt werden könnten.

Malwarebytes listete mir ca. 80 Funde von "potentiell unerwünschter Software" auf. 80-90% der gefundenen Einträge gingen auf das Konto von ccleaner, slimcleaner und driverupdate. Mein Bekannter hatte keines dieser Produkte selbst installiert, und eine Überprüfung des Installationsdatums dieser drei Produkte stimmte mit dem fremden "Reparaturversuch" überein.

Ccleaner kenne ich vom Hörensagen - viele Leute benutzen diese Software. (Mir käme sie nicht auf den Rechner!). Slimcleaner und driverupdate rangieren unter "verdächtigere Software" - die entsprechenden Internetforen sind voll von Nachfragen, was denn diese Software überhaupt tue bzw. dem Verdacht, sie entwickle auch andere Aktivitäten.

Die drei Produkte wurden also deinstalliert und die verdächtigen Einträge von Malwarebytes in Quarantäne geschickt.

Nun zu den Skripten. Ich rief eines davon zum Bearbeiten auf und traute kaum meinen Augen! Hier sehen Sie das entsprechende Skript:

ECHO OFF
Dir
PAUSE
Ipconfig
Pause
echo off
ipconfig
%Temp%
pause
tree
color 06
tree
pause
color 02
tree
color 09
pause
echo off
echo msgbox "Netzwerk Sicherheit aktiviert" > %tmp%\tmp.vbs
cscript /nologo %tmp%\tmp.vbs
del %tmp%\tmp.vbs
cd C:\tree
tree

Das macht überhaupt nichts Sinnvolles (und ist zum Teil sogar falsch programmiert)!

Schauen wir uns die Befehle mal näher an - Sie können übrigens alle selbst vollkommen unschädlich in die Eingabeaufforderung eintippen:

DIR zeigt den Inhalt des aktuellen Verzeichnisses an (DOS-User erinnern sich!?)
TREE zeigt eine strukturierte Ansicht des Inhalts.
IPCONFIG zeigt die aktuellen Netzwerkeinstellungen bezogen auf das TCP/IP-Protokoll an.
PAUSE wartet auf das Drücken einer Taste.
%Temp% erzeugt eine Fehlermeldung; mit CD %Temp% wäre es richtig benutzt und würde in das temporäre Verzeichnis des aktuellen Benutzers wechseln.
COLOR xy ändert der Farbe der Ausgabe!
Die letzten Zeilen erzeugen ein Visual-Basic-Script, das den Text "Netzwerk Sicherheit aktiviert" auf dem Schirm anzeigt, ruft es auf und löscht es wieder.

Alles in allem passiert schlichtweg nichts Sinnvolles, außer der Anzeige eben diese Texts und vorher einer Menge von - in diesem Zusammenhang - sinnlosen Ausgaben.

Die anderen drei Skripte waren bis auf eine Kleinigkeit identisch: Statt des Worts "Netzwerk" beinhalteten Sie "Hacker" oder "Virus" oder "Firewall".

Fazit

Es ist nun wenigstens kein größerer Schaden auf dem Rechner entstanden - nur halt ein finanzieller. Die besagten Programme ließen sich deinstallieren und die sowieso nutzlosen Skripte waren schnell gelöscht. Etwas anderes konnte zumindest nicht festgestellt werden. Die verdächtigen Programme sind jetzt vom System entfernt - aber anstelle derer hätte auch ganz andere Software installiert werden können!
Der "Angreifer" war hier also nicht wirklich richtig böse, sondern hat sogar noch ein paar schöne, bunte Bildschirmausgaben programmiert. Schnell verdientes Geld jedenfalls, und ziemlich frech!

Also: NIE eine "Rettungsnummer" anrufen!