© Getty Images/iStockphoto / solarseven/IStockphoto.com

Digital Life

Corona-Malware zerstört Computer

Kriminelle machen sich zunehmend die Unsicherheit der Menschen während der Corona-Pandemie zunutze, um Schadsoftware in Umlauf zu bringen. Sicherheitsforscher konnten eine neue Malware identifizieren, die den infizierten Computer zerstört.

Die Malware löscht entweder einzelne Dateien oder überschreibt den Master Boot Record (MBR). Dieser enthält das Startprogramm, das von BIOS aufgerufen wird und die Partitionstabelle eines Computers. 

Wie ZDNet berichtet, konnten vier verschiedene Stämme der Malware identifiziert, die im Internet verteilt wurden. Alle Beispiele thematisierten das Coronavirus. Im Gegensatz zu vielen anderen schadhaften Programmen, die derzeit in Umlauf sind, ziele diese Malware aber nicht auf finanzielle Bereicherung ab. Sie soll nur den Computer zerstören.

Windows Task Manager deaktiviert

Gefunden hat den Trojaner SonicWall, die bereits kürzlich auf eine erpresserische Corona-App hinwiesen. Sie fanden eine Datei namens „coronavirus.bat“ in den temporären Dateien des Computers. Diese Datei macht sich auf dem Computer selbstständig, deaktiviert den Windows Task Manager und die Benutzerkontensteuerung. Danach ändert sich der Desktophintergrund und die Malware schreibt neue Einträge in die Registrierungsdatenbank.  

Anschließend öffnet sich ein Fenster mit einer schematischen Darstellung des Coronavirus. Ein „Remove Virus“-Button (Virus entfernen) ist ausgegraut. Klickt man auf den „Help“-Button, wird eine Nachricht angezeigt, die man nicht schließen kann.

Während man versucht, das Fenster loszuwerden, überschreibt die Malware im Hintergrund den MBR und startet den Computer neu. User sehen dann nur noch einen grauen Bildschirm mit der Nachricht: "Created by Angel Castillo. Ihr Computer wurde zerstört.“

Getarnte Ransomware

Allerdings ist noch eine weitere kompliziertere Malware in Umlauf. Sie gibt vor eine Coronavirus-Ransomware zu sein, tatsächlich stiehlt sie aber Passwörter. Um davon abzulenken, dass tatsächlich der Computer des Nutzers angegriffen wird, wurde eine für Ransomware typische Zahlungsaufforderung angezeigt. Nachdem die Daten gestohlen wurden, überschreibt die Software ebenfalls den MBR. Danach wurde der Bildschirm gesperrt.

Eine weitere schadhafte Software, die das MalwareHunter-Team entdeckte, löscht Daten auf dem System der Nutzer. Die erste Version wurde im Februar entdeckt, die zweite am 1. April. Obwohl sie nicht sehr effizient arbeiten und fehleranfällig sind, könnten sie großen Schaden auf dem Computer eines Nutzers anrichten.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare