Hanau, 16. Mai 2012

Der Sicherheitsspezialist Doctor Web warnt vor einer massiven Verbreitung von Trojan.Hosts.5858, von dem in erster Linie Anwender aus der deutschsprachigen Region bedroht sind. Der Trojaner leitet das Opfer beim Aufrufen einer Webseite auf die vorgeschobene Website weiter, sperrt es aus und fordert Lösegeld per Kreditkarte.

Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch BackDoor.Andromeda bereits infiziert sind. Vielfältige Vertreter dieser BackDoor-Familie können selbständig gefährliche ausführbare Dateien herunterladen. Zusammen mit Trojan.Hosts.5858 können auf einen anfälligen Computer andere Trojaner wie Trojan.Spambot.11349 und BackDoor.IRC.Aryan.1 gelangen.

Nachdem sich Trojan.Hosts.5858 ausgeführt hat, modifiziert er die hosts-Datei im Systemverzeichnis von Windows, die für Systemadressen der Websites und ihre DNS-Namen verantwortlich ist. Beim Wechseln auf eine beliebte Website wie Facebook, Google, Yahoo usw. wird das Opfer auf eine spezielle Website weitergeleitet, wo ihm über den gesperrten Internetzugang mitgeteilt wird. Um seinen Internetzugang zu entsperren, muss das Opfer den Übeltätern seine Kreditkartendaten übermitteln.

Die Signatur für Trojan.Hosts.5858 wurde in die Virendefinitionsdatei von Dr.Web bereits eingetragen. Der Trojaner kann aus dem System erfolgreich entfernt werden. Sollte die Forderung nach Lösegeld erneut auftauchen, wird Ihnen dringend empfohlen, eine wiederholte Systemprüfung mit Dr.Web CureIt! durchzuführen oder die Datei Windows\System32\Drivers\etc\hosts zu editieren, indem Sie unnötige Eintragungen löschen.