Inzwischen warnt auch das FBI vor dem "BKA-Trojaner" (1). Es handelt sich um eine Malware mit zwei wesentlichen produktiven Funktionen. Sie verändert die Zulieferungsdateien für das BIOS (2), so dass das infizierte System nicht mehr ausgeführt werden kann, und zeigt ein eigenes Bildschirmbild, das ihn als Straftäter bezeichnet und die Zahlung einer Buße von - meistens - 100 € per PaySafeCard oder uKash verlangt, damit seine Schuld beglichen wird. Selbst wenn man reuig bezahlt hat, passiert natürlich nichts - das System bleibt verbogen. Das lässt sich mit im Internet erhältlichen (kostenlosen) Werkzeugen wieder richten, außer, und das tun einige Varianten, es werden gleichzeitig massenhaft Dateien von der Malware verschlüsselt. Ohne Backup sind diese endgültig verloren.

Die zweite produktive Malwarefunktion bleibt verborgen: Sie durchsucht das kompromittierte System nach Zugangsdaten und Registrierungsschlüsseln, die an das Mutterschiff der Malware gesandt werden. Das kann der zur Steuerung eingesetzte Command & Control-Server sein - und das wäre blöd, weil der dadurch ermittelt werden könnte - oder eine Dropzone, also ein Hostspeicherplatz, wo die ausgespähten Daten zur eigenen Weiternutzung der Täter oder zur freudigen (kostenpflichtigen) Auswahl Anderer abgelegt werden.

Eine beeindruckende Galerie mit 40 Varianten des Erpresserbriefes zeigt das französische Wiki botnets.fr unter dem Stichwort Reveton. Die grobe Struktur des Layouts ist meistens gleich, aber nicht schlecht konstruiert. Ein Blick auf die Details zeigt, dass nicht nur die drohende Behörde als solche geschickt ausgewählt wird, sondern auch die Ausgabestellen für Vouchers sehr genau nach den nationalen Besonderheiten ausgewählt werden. Die Sprache mag manchmal etwas holpern und verdächtig sein, aber die Layouts sind auf dem ersten Blick gut gemacht. Nur wenige Varianten zeigen Abweichungen bei der Grundstruktur der Gestaltung.

Jedenfalls wegen der überwiegenden Varianten, die dieselbe Grundstruktur des Layouts zeigen, bin ich mir sicher, dass sie von dem einen oder einigen wenigen C & C-Servern zugeliefert wurden, die dasselbe Programm verarbeiten. Die Malware liest zunächst ihre Umgebungsvariablen aus (IP-Adresse, Betriebssystem, Arbeitssprache und Browsertyp) und die werden in dem Erpresserbrief auch wieder angezeigt. Mit diesen Umgebungsdaten kann der C & C-Server auch den national passenden Erpresserbrief auswählen und an die Malware auf dem infizierten System melden. Die zunächst ausgespähten Umgebungsvariablen werden dabei einfach nur eingeblendet - banal. Gleichzeitig kann der C & C-Server auch Updates an die Malware senden, die für ihre Umgebung optimiert sind.

Die Idee hinter der Erpresser-Malware ist genial. Sie nutzt das schlechte Gewissen der Betroffenen aus und produziert dazu eine Drohung, deren Plot erst einmal passt. Der Eingriff in das angegriffene System ist brutal, aber momentan. Das bedeutet: Andere Malwareformen müssen sich erst verstecken, um ihre produktiven Funktionen langfristig ausführen zu können (Botware, Onlinebanking-Trojaner). Darauf kann die Ramsonware verzichten. Sie greift einmal an und entfaltet eine aggressive Wirkung.

Es handelt sich aber um keine willkürliche Pöbelei, sondern um einen feinsinnig geplanten und gesteuerten Angriff nach dem klassischen Gießkannenprinzip. Feinsinnig deshalb, weil er auf wirklich viel nationale und individuelle Besonderheiten abgestimmt und angepasst ist.

Chapeau - wenigstens dafür!

(1) BKA-Trojaner expandiert international, Heise online 16.08.2012

(2) Einzelheiten: Dieter Kochheim, Automatisierte Malware, April 2012.