Hanau, 19. September 2011

Der Sicherheitsspezialist Doctor Web teilt über die Verbreitung eines weiteren Vertreters der Trojan.Winlock-Familie mit. Die Besonderheit von Trojan.Winlock.3260 besteht darin, dass der Schädling auf westeuropäische Anwender abgezielt ist und mehrsprachig agiert. Angeblich sollen solche Nachrichten von einer Polizeibehörde eines entsprechenden Landes unterzeichnet sein.

Die Virendatenbank von Doctor Web enthält bereits Signaturen für über 11 000 Trojan.Winlocks. Trojan.Winlock.3260 ist einer der wenigen Schädlinge, die auf westeuropäische Anwender abgezielt ist. Vom April bis zum August 2011 wurden mehr als 120 Varianten dieses Trojaners entdeckt, die sich durch eine Verschlüsselungsmethode und weitere technische Details unterscheiden.

Die Hauptbesonderheit von Trojan.Winlock.3260 besteht darin, dass im Sperrfenster eine Nachricht enthalten ist, die in jedem entsprechenden Land angeblich von der Landespolizei unterzeichnet sein soll: für Deutschland - von der Bundespolizei, für Großbritannien — von The Mertopolitan Police, für Spanien — von La Policìa Española. In allen Fällen werden Anwender des Besuchs von Websites für Erwachsene bezichtigt und aufgefordert, eine entsprechende Geldstrafe auf elektronischem Wege zu bezahlen.

Die meisten Muster dieses Programms sind in der Sprache С++ erstellt (außer einigen Samples, die durch Visual Basic geschrieben wurden). Sie verwenden ähnliche Variablen, API-Funktionen und Verschlüsselungsmethoden, die auf eine bestimmte Urheberschaft zurückzuführen sind. Die Nachricht wird auf dem Bildschirm aus einer HTML-Datei angezeigt, die gleichzeitig im Schädling eingebettet ist. Nach seinem Start verfolgt und blockiert Trojan.Winlock.3260 solche Tastenkombinationen wie Ctrl+Alt+Del oder Ctrl+F4.

Die Signatur für Trojan.Winlock.3260 wurde in die Dr.Web Virendatenbank aufgenommen. Wir empfehlen Ihnen aber, Festplatten Ihres PCs durch Dr.Web Scanner regelmäßig zu überprüfen.