Trojan.Hosts durch BackDoor.Andromeda

AdminBot

Neue Version von Trojan.Hosts sperrt scheinbar Internetzugang und erpresst Geld

Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch BackDoor.Andromeda bereits infiziert sind
Doctor Web warnt vor einer massiven Verbreitung von Trojan.Hosts.5858, von dem in erster Linie Anwender aus der deutschsprachigen Region bedroht sind. Der Trojaner leitet das Opfer beim Aufrufen einer Webseite auf eine vorgeschobene Website weiter, auf welcher von einer angeblichen Sperrung des Internets aufgrund von Spam die Rede ist. Für die Entsperrung wird ein Lösegeld per Kreditkarte gefordert.

Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch BackDoor.Andromeda bereits infiziert sind. Vielfältige Vertreter dieser BackDoor-Familie können selbständig gefährliche ausführbare Dateien herunterladen. Zusammen mit Trojan.Hosts.5858 können auf einen anfälligen Computer andere Trojaner wie Trojan.Spambot.11349 und BackDoor.IRC.Aryan.1 gelangen.
Nachdem sich Trojan.Hosts.5858 ausgeführt hat, modifiziert er die hosts-Datei im System-verzeichnis von Windows, die für die Zuordnung von Host-Namen zu IPs verantwortlich ist. Durch eine Zuordnung beliebter Websites wie Facebook, Google, Yahoo usw. zu ein und derselben IP in der hosts-Datei wird das Opfer auf eine spezielle Website weitergeleitet, wo ihm eine vermeintliche Sperrung seines Internetzugangs mitgeteilt wird. Die angebliche Entsperrung soll für 2 Euro durchgeführt werden, wofür die Betrüger sich die Kreditkartendaten des Opfers übermitteln lassen.
Doctor Web rät dazu, bei erneuten Lösegeldforderungen eine wiederholte Systemprüfung mit Dr. Web CureIt! durchzuführen oder die Datei Windows/System32/Drivers/etc/hosts zu editieren und unnötige Eintragungen zu löschen. (Dr. Web: ra)

Nei Problemen mit Trojanern: http://www.trojaner-board.de/69886-a...-beachten.html