Durch ein kryptisches "LOL" versucht der Virus, Opfer zum Öffnen des verseuchten Archivs zu bewegen. (Bild: NorSIS)

Das Norwegische Zentrum für Informationssicherheit (NorSIS) warnt vor einem Virus, der sich über den Facebook-Chat verbreitet und den Computer der Nutzer dazu missbraucht, Bitcoins und andere Kryptowährungen zu schürfen. Die Schadsoftware wurde zuerst in Norwegen beobachtet, aber laut Sicherheitsforschern von NorSIS ist zu erwarten, dass sich der Schadcode schnell über die Landesgrenzen hinweg ausbreiten wird oder schon ausgebreitet hat. Die Forscher raten Nutzern, keine verdächtigen Anhänge zu öffnen.

Verbreitung an Facebook-Kontakte der Opfer

Laut NorSIS erhalten betroffene Nutzer eine Chatnachricht, die vorgibt, dem Opfer ein Bild senden zu wollen. In Wirklichkeit handelt es sich um ein Datenarchiv, welches den Rechner nach dem Entpacken übernimmt und zum Schürfen von Kryptowährungen missbraucht. Der Virus verbreitet sich dann über Facebook an die Kontakte des Opfers. Betroffene Computer laufen heiß und werden deutlich langsamer, da die CPU (oder in vielen Fällen die Grafikkarte) im Hintergrund durchläuft.

Der Virus nutzt Java um das System zu infizieren und wurde zuerst vom norwegischen Telekommunikationsgiganten Telenor entdeckt. Die Software lädt bei der Infektion den eigentlichen Schürf-Schadcode aus dem Netz nach. Diese Komponente ist nicht neu und besteht in der Regel aus Dateien, die auch bei anderen Kryptomünzen-Trojanern zum Einsatz kommen.

Laut einer Analyse des vorliegenden Schadcodes durch eine Sicherheitsfirma legt der Virus eine DLL namens YQJHBJX.PWY auf dem Rechner an und kann so entdeckt werden. Allerdings könnte der Name der Datei sich bei neueren Versionen des Virus ändern oder sogar zufällig vergeben werden. (fab)