Einige Überlegungen von Christine Ehlers

Kurz vor dem 20. März 2012 tauchte er erstmalig auf: der so genannte GVU-Trojaner. Und immer noch werden Internetnutzer mit dieser Schadsoftware abgezockt, die den Namen und das Logo der GVU als Drohgebärde missbraucht. Dazu erzeugt der Trojaner einen Sperrbildschirm auf dem Nutzer-PC und fordert für die angebliche Entsperrung Geld. Der Schädling lauert auf manipulierten Webseiten. Seit Juli mehren sich die Hinweise, dass kinoX eine der Hauptquellen ist. Haben sich die Betreiber dieses illegalen Streaming-Angebots wohlmöglich eine neue Einnahmequelle durch diese betrügerische Erpressersoftware erschlossen? Schließlich generierten solche illegalen Angebote, wie kino.to & Co. bereits in der Vergangenheit den größten Teil ihrer Einnahmen durch Abzocken der Seitenbesucher.

„Herkömmliche“ Einnahmequellen von illegalen Portalen

Bislang dienten insbesondere so genannte Abofallen als primäre Einnahmequelle. Dabei handelt es sich um eine unseriöse Geschäftspraktik, mit der Internetnutzern ein kostenpflichtiges Abonnement untergejubelt wird – etwa für das Nachverfolgen von Freunden via Telefon, Programme zum Abspielen von Streams, Flirt-Chats, IQ- oder BMI-Index-Tests und ähnliche Angebote, die es bei seriösen Anbietern auch zum Teil kostenlos im Netz gibt. Die Verbraucherzentralen warnen seit Jahren vor diesen dubiosen Diensten. Mit der am 1. August in Kraft getretenen so genannten „Button-Lösung“ sollen Verbraucher nun auch per Gesetz besser vor solchen versteckten Kostenfallen geschützt werden.

Diese Entwicklungen erschweren Anbietern von Abofallen das Erzielen von Profit. Damit brechen auch die Einnahmen der Betreiber von denjenigen Raubkopien-Portalen ein, die mit diesen Betrügern und Kriminellen Geschäfte machen. Denn während das Aufrufen oder Wegklicken eines entsprechenden Werbemittels beispielsweise für die Verantwortlichen im System von kino.to durchschnittlich nur 0,1 Cent pro Vorgang einbrachte, lagen die Verdienstmöglichkeiten bei bis zu 20 Euro, wenn der kino.to-Nutzer einen Vertrag mit dem Abofallen-Anbieter abschloss. Ein Vielfaches dieser Summe wird in der Textmeldung des GVU-Trojaners verlangt.

Neues Geschäftsmodell von kinoX und/oder den Geschäftspartnern?

In ihrer ersten Version, die seit März im Umlauf ist, beläuft sich die Zahlungsaufforderung der betrügerische Erpressersoftware auf 50,- Euro. Mitte Mai tauchte dann eine neue Variante des Schadprogramms im Internet auf. Diese forderte den verdoppelten Betrag von 100,- Euro „Lösegeld“. Eine Variante verlangt sogar 1000,- Euro, wie mehrere Geschädigte der GVU berichteten. Auch die zweite Version des GVU-Trojaners, die eine neue Infektionswelle ab dem 20. Juni auslöste und betroffene Nutzer mit einem aktuellen Live-Bild der Webcam erschreckt, nötigt in seinen verschiedenen Variationen zur Zahlung von zumeist 50,- oder 100,- Euro für die angebliche Entsperrung des Rechners. Nicht wenige der zahlreichen Opfer, die in den letzten Monaten bei der GVU anriefen, hatten den verlangten Betrag zuvor entrichtet. Manche sogar mehrfach.

Plausibel ist eine Verlagerung auf neue Geldquellen seitens der Betreiber illegaler Portale auch vor dem Hintergrund der aktuell anhängigen Ermittlungsverfahren gegen einschlägige Werbedienstleister wegen des Verdachts der gewerbsmäßigen Beihilfe zu gewerbsmäßig begangenen Urheberrechtsverletzungen. Nach GVU-Erkenntnissen handelt es sich bei den Agenturen um zwei der zentralen Geschäftspartner für die Szene. Erste Analysen deuten darauf hin, dass sich die Verfahren bereits auf mehrere, auch bekannte illegale Portale ausgewirkt haben. Einige sind seit April vom Netz gegangen, andere stehen zum Verkauf. kinoX hatte offenbar Ende Juni Zahlungsschwierigkeiten und war nicht erreichbar.

Eine andere Variante wäre, dass der aktuelle Werbepartner von kinoX die Werbemittel inklusive GVU-Trojaner ausliefert und dadurch zusätzliche Profite generiert. Auch die innerhalb der Internetwerbewirtschaft längst etablierte Schattenwirtschaft, die gezielt mit solchen Warez-Seiten zusammenarbeitet, beklagt seit längerem rückläufige Erlöse. Bereits am 18. März 2010 berichtete einer dieser Werbedienstleister, dass sie die Auszahlungen an Szene-Seiten senken mussten, da die Teilnahme an den Netzwerken der seriösen Werbedienstleister fast unmöglich geworden sei. Als Grund nannte er eine einstweilige Verfügung gegen ein werbendes Unternehmen, die diesem das Werben auf Seiten mit rechtswidrigem Inhalt verbot. Infolge hätten sich die Auswahl der möglichen Werbekunden und damit auch die Umsätze reduziert. Dieser Trend hat sich mit den anhängigen Strafverfahren wohl kaum gewendet.

… oder schlampige Programmierung?

Allerdings ist es auch möglich, dass das System kinoX oder die dort ausgelieferten Werbemittel von anderen Kriminellen gehackt wurden, die dann beispielsweise einen iFrame in die Webseite bzw. die Werbung eingeschmuggelt haben. Laut Trojaner-Board ruft in dem Fall die Webseite – hier kinoX –bzw. das Werbemittel im Browser des Besuchers zusätzlich die Webseite dieser anderen Kriminellen auf. Dort wird der Nutzer-PC auf Sicherheitslücken in der installierten Version des Programms JAVA abgeklopft. Sind solche Schwachstellen vorhanden, kann der Schädling in den Rechner des Opfers eindringen.

Für diese Erklärung spricht, dass offenbar viele der Raubkopien-Angebote schlampig programmiert sind und diverse Sicherheitslücken aufweisen. So berichteten die Computerbild in ihrer Ausgabe 13/2012 sowie Welt Online von einer illegalen Download-Plattform für Filme, die von Unbekannten gehackt worden war. Die Hacker verschafften sich unter anderem Zugriff auf umfangreiche Log-Dateien. In diesen waren die Nutzer-IPs ebenso protokolliert, wie Informationen darüber, welcher Film über die IP hoch- oder heruntergeladen wurde.

Zudem sind illegale Portale häufig regelrechte Virenschleudern. Über kinoX werden beispielsweise neben dem GVU-Trojaner auch die Schädlinge verbreitet, welche die Logos von der Bundespolizei, dem BKA, der GEMA usw. missbrauchen. Forenbeiträge deuten darauf hin, dass dort auch gefährliche Rootkits lauern, die z.B. Daten ausspähen oder den Rechner von außen kontrollieren können. Wenn diese Schädlinge nicht von den kinoX-Betreibern und/oder ihren Werbepartnern in Umlauf gebracht werden, dann nehmen sie es anscheinend zumindest billigend in Kauf, dass ihre Nutzer auf diese Weise abgezockt, betrogen und deren Rechner missbraucht werden.

Was kann der GVU-Trojaner?

Nach Auskunft des Trojaner-Boards kann der GVU-Trojaner glücklicherweise vergleichsweise wenig. Es gibt es keine Variante, die persönliche Daten auf dem PC verschlüsselt. Die Version mit der Webcam ist nach dortigen Erkenntnissen eine reine Scareware. Es werden keine Daten ausgespäht. Der Trojaner kann auch nicht den Rechner von außen kontrollieren. Die „Webcam-Version“ kann zudem nur dann den Sperrbildschirm laden, wenn der Nutzer des infizierten Rechners eine Internetverbindung herstellt. Der Rechner bleibt daher im Offline-Modus funktionsfähig.

Im Gegensatz zu dem aktuellen Verschlüsselungstrojaner, der per Mail verschickt wird und somit vom Nutzer selbst gestartet wird, verbreitet sich der GVU-Trojaner ausschließlich durch das Surfen mit einem ungeschützten Rechner auf manipulierten Webseiten. Die Behauptung, der infizierte Rechner werde nach Zahlung des „Lösegelds“ entsperrt, ist reiner Betrug. Das Problem bleibt auch nach Zahlung bestehen.

Was hilft den Betroffenen?

Einmal in den Rechner eingedrungen, lässt sich diese Schadsoftware vergleichsweise „leicht“ und vollständig entfernen. Dennoch sollten sich Betroffene nicht in Sicherheit wiegen. Denn wenn es dem GVU-Trojaner gelungen ist, den Rechner zu infizieren, dann schaffen dies auch andere, weit gefährlichere Schädlinge. Daher empfiehlt sich für Betroffene in jeden Fall eine Bereinigung des PCs durch Experten. Im Internet ist dies in den entsprechenden Foren nach kostenloser Registrierung möglich. Die GVU empfiehlt darüber hinaus, Strafanzeige bei der zuständigen Polizeidienststelle zu erstatten.

Wie können sich Internetnutzer schützen?

Grundsätzlich sollten Internetnutzer immer sofort alle Sicherheitsupdates, insbesondere bei den viel benutzten Programmen, durchführen. Als Schutz gegen den GVU-Trojaner muss insbesondere Java richtig aktualisiert werden. Eine Überprüfung der Plug-Ins hilft, die größten Sicherheitslücken beim Surfen im Internet zu schließen. Und nicht zuletzt: Wer zum Online-Filmkonsum auf legale Plattformen geht, verringert nicht nur das Risiko zahlreicher Vireninfektionen seines Rechners, sondern trägt auch dazu bei, dass die Filmschaffenden fair vergütet werden können. Die Kreativen werden es danken.

Grüße und Dank gehen an Peter Z. vom Trojaner-Board für die Aufklärung zum Thema Schadsoftware!