Ein neuer Schädling versucht derzeit, User dazu zu bringen eine Sicherheitssoftware zu kaufen. Er sperrt den Bildschirm mit einem simulierten Bluescreen und beendet diesen erst, wenn man Geld für eine nicht existente Sicherheitssoftware überweist.
„Troubleshooter“ tarnt sich als Installationsprogramm für nicht näher bezeichnete gecrackte Software um auf die Rechner zu gelangen. Nach dem Download werden mehrere Dateien nachgeladen, die unter anderem der Darstellung von Bluescreen und Warnhinweisen dienen. Außerdem enthalten diese eine Screenshotfunktion, deren Grund bisher nicht bekannt ist. Der Schädling fertigt damit einen Screenshot des Desktops an, des Fensters im Vordergrund, um ihn an eine feste IP-Adresse zu verschicken.
Eine der Dateien registriert sich als Windows-Dienst, um diverse Tastenkombinationen zu deaktivieren und so das Aufheben der Bildschirmsperre durch den Nutzer zu verhindern.
Im Anschluss an den Bluescreen erscheint eine Warnhinweis der sich nicht deaktivieren lässt. Er teilt mit, es gäbe Systemprobleme und der User solle eine fiktive Sicherheitssoftware namens „Windows Defender Essentials“ für 25 Dollar kaufen.
Ungewöhnlich: Die Zahlung soll per Paypal erfolgen.
„Troubleshooter“ kann jedoch überlistet werden:
Die Eingabe der Tastenkombination Strg-O in die Zahlungsaufforderung der Malware öffnet ein Fenster, das dem Nutzer die manuelle Eingabe einer URL ermöglicht.
So kann er die Webseite mit dem Textstring eigenständig ansteuern, den Betrügern die erfolgte Zahlung vorgaukeln und Troubleshooter dazu bringen, sich vollständig zu beenden.
Die Dateien, die der Schädling auf dem System hinterlegt, müssen jedoch noch manuell entfernt werden.