skip to Main Content

GEMA-Trojaner (Ransomware)

Beim GEMA-Trojaner handelt es sich um eine hartnäckige Abwandlung des sogenannten “BKA-Trojaners”. Mehr […]
Die Betrugs- bzw. Erpressungssoftware (Ransomware) blockiert sämtliche Zugriffe auf dem infizierten PC und blendet eine vermeintliche Mitteilung der GEMA ein, in der der Nutzer zur Zahlung einer vermeintlichen Strafe via Paysafecard in Höhe von 50 Euro aufgefordert wird.

GEMA-Trojaner

Achtung: Tätigen Sie keine Zahlung per Paysafecard! Diese Nachricht ist eine Falschmeldung und zielt nur darauf verunsicherte Nutzer zu bestehlen.

GEMA-Trojaner

GEMA-Trojaner

Download: (Thx to Xylitol)
GEMA-Trojaner.rar
PW: evild3ad.com

Windows 7

Kontoname: evild3ad | Kontotyp: Administrator

Dateisystem:
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
C:\Benutzer\evild3ad\AppData\Local\Temp\~DF5ACDC91207CB2D0A.TMP
C:\Benutzer\evild3ad\AppData\Local\Temp\2800453.bat
C:\Benutzer\evild3ad\AppData\Roaming\dwlGina3.dll
C:\Benutzer\evild3ad\AppData\Roaming\sx5u7frt55.exe
C:\Benutzer\evild3ad\AppData\Roaming\u5hr46sirtijyrt5.exe (Kopie)

Hidden:
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\00EZIMPT\background_gradient[1] C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\00EZIMPT\ErrorPageTemplate[1] C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\89TQK8A2\info_48[1] C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\89TQK8A2\navcancl[1] C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\F2U1IWAW\httpErrorPagesScripts[1] C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N589XRH1\bullet[1] C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N589XRH1\errorPageStrings[1] C:\Benutzer\evild3ad\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
C:\Benutzer\evild3ad\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
C:\Benutzer\evild3ad\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat

Registry:
HKLM\Software\Microsoft\Tracing\sx5u7frt55_RASAPI32
HKLM\Software\Microsoft\Tracing\sx5u7frt55_RASMANCS
HKLM\Software\Microsoft\Windows\CurrentVersion\Run -> C:\Benutzer\evild3ad\AppData\Roaming\u5hr46sirtijyrt5.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
-> Shell: C:\Benutzer\evild3ad\AppData\Roaming\u5hr46sirtijyrt5.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDesktop
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTool, DisableTaskMgr

DNS Requests:
gema-check.in (85.121.39.3)

HTTP Requests:
gema-check.in/gemacasher/gate.php
gema-check.in/gemacasherde/index.php

Funktionsweise:
Coming soon!

Infektionsweg:
Der GEMA-Trojaner wird primär über Webseiten mit pornografischem Inhalt verbreitet. Die Infektion erfolgt dabei, ohne Interaktion des Nutzers, über eine ungepatchte Betriebssystem-, Browser- oder Anwendungsschwachstelle beim Zugriff auf den präparierten bzw. manipulierten Web-Server (Drive-By-Infektion).

Bereinigung des infizierten Systems (bka-trojaner.de):
Anleitung für Windows XP
Anleitung für Windows Vista/7

Video:
Coming soon!


sx5u7frt55.exe (MD5: f76e3c6d194cf1f4002c417e020e7c0b)
Submission date: 2011-11-27 19:13:06 (UTC)
Result: 0/43 (0.0%)
Report
submitted by Xylitol

Submission date: 2011-12-05 01:17:34 (UTC)
Result: 27/43 (62.8%)
Report

dwlGina3.dll (MD5: 1173123287198dce1eb831f04e28352c)
Submission date: 2011-12-30 22:10:32 (UTC)
Result: 17/43 (39.5%)
Report

Submission date: 2012-01-01 10:22:59 (UTC)
Result: 15/ 43 (34.9%)
Report

dWinlock
www.dwinlock.kassl.de

Back To Top