Sie nennen sich "Antivirus XP 2008" oder "Antivir Remover 2011" und tauchen plötzlich auf dem Computer auf, um ihn durch nervige Warnungen unbenutzbar zu machen.

Für diese Art Viren gibt es verschiedene Bezeichnungen wie Scam- bzw. Fraudware (Betrug) oder Scareware (Erschrecken). Dieser Typ macht einen Großteil der heutigen Vireninfektionen aus. Nicht nur, weil der Besitzer eine Infektion sofort sieht, sondern weil dahinter ein Millionengeschäft mit international agierenden Banden steht. Die Programme behaupten, sie hätten einen Virus gefunden und würden ihn entfernen, wenn man sich eine Vollversion für viel Geld kaufen würde. Manchmal geben sie auch vor, Raubkopien oder eine abgelaufene Lizenz des Betriebssystems gefunden zu haben, die man jetzt bezahlen müsste.

Ganz wichtig: Nie bezahlen!!!

Wie verbreiten sich diese Programme?

Auch wenn sie mal als Viren und Mal als Rootkits bezeichnet werden. Korrekterweise sind es Trojaner. Sie kapern den Rechner und schaffen Zugänge zum Nachladen von weiteren Programmen wie Tastaturloggern und Fernsteuerungen des Rechners.

Es gibt zwei Verbreitungswege

1: Die Infektion des Rechners durch Ausnutzen von Schwachstellen der Browser
Über präparierte Webseiten gelangen die Programme auf den Rechner. Nicht nur auf halbseidenen Angeboten wie Tauschbörsen, Chats oder Erotikseiten kann man infiziert werden. In der Vergangenheit wurden auch seriöse Angebote durch Fehler auf dem Webserver infiziert. Die Banden gehen sogar so weit, dass sie über geklaute Kreditkarteninformationen Werbeplätze bei Zeitungen und in Suchmaschinen kaufen und die Werbebanner entsprechend präparieren. Der Webbrowser, aber auch das System, sollte daher immer auf dem neusten Stand gehalten werden.

2: Über den Download von Programmen
Gerade im Bereich von illegalen Dowloads über P2P-Tauschbörsen, aber auch als angeblich kostenlose Profisoftware bzw. Softwareschlüssel (Cracks) werden viele der Trojaner verteilt. Hier gilt die Regel: Nichts von Angeboten herunterladen, die man nicht kennt. Wenn es sich wirklich um nützliche Programme handelt, dann sind sie auch über Softwarepools wie (Sourceforge, Heise, CNet) abrufbar.

Wie entfernen?

Da diese Programme nicht unbemerkt agieren ist der Aufwand, den sie gegen ihre Entfernung betreiben, enorm. An bis zu 100 Stellen und mit zig versteckten Kopien machen sie ein Entfernen im laufenden Betrieb fast unmöglich. Viele Antivirenhersteller bieten daher spezielle Boot-CDs mit einem Linux Betriebssystem. Nach dem Booten der CD müssen die Virenkennungen aktualisiert werden, bevor die Platte von diesem gesicherten System aus untersucht werden kann. Leider handelt es sich meist um verschiedene Infektionsmechanismen mit permutanten Viren. Daher ist die Gefahr groß, dass Reste des Trojaners im System verbleiben. Die Boot-CD bietet immerhin auch die Möglichkeit die eigenen Dateien vor der Neuinstallation in Sicherheit zu bringen.
Ganz auf die Entfernung von Nagware spezialisiert ist "HijackThis". "HijackThis" ist in der einfachen Version kostenlos und bietet eine Fülle von Optionen. Allerdings ist ist die Bedienung nur für Fortgeschrittene geeignet. Dafür gibt es ein Forum in dem man sich informieren und Fragen stellen kann.

Ransomware
Ransomware (Ransom=Lösegeld) ist sozusagen die Steigerung nach dem Motto "Bist du nicht willig, brauch ich Gewalt". Bei Ransomware werden wichtige Dateien / Dokumente verschlüsselt. Nur durch Erwerb eines Programmes, Zahlung einer Summe oder Anruf bei einer teuren Hotline werden die Dateien angeblich wieder lesbar. Gegen Ransomware helfen nur möglichst aktuelle Backups.

Weitere Infos:

• www.trojaner-board.de
• www.hijackthis.de
• de.wikipedia.org/wiki/Scareware