1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Beta-Bot ergaunert sich Admin-Rechte und killt Virenscanner

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 14. Mai 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.179
    Zustimmungen:
    2.690
    Punkte für Erfolge:
    113
    Beruf:
    Systemintegrator
    Ort:
    Астана
    Die Antivirenexperten von G Data

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , der mit einem perfiden Trick versucht, den Virenscanner kalt zu stellen: Er zeigt eine gefälschte Windows-Fehlermeldung an, um sich Admin-Rechte zu erschleichen.

    Laut der gefälschten Fehlermeldung ist ein kritischer Festplattenfehler aufgetreten; ausgerechnet im Ordner "Eigene Dokumente" soll ein Datenverlust drohen. Klickt der Nutzer auf "Dateien wiederherstellen", erscheint ein Dialog der Benutzerkontensteuerung (UAC) – der ist allerdings echt. Wer diesen in dem Glauben, dass dadurch eine Datenrettung angestoßen wird, abnickt, verleiht dem Bot Admin-Rechte. Diese benötigt er, um die Virenschutzsoftware abzuschalten.
    Erkennen kann man die durch vom Bot initiierten UAC-Abfragen bestenfalls auf den zweiten Blick: Der Prozess, der nach den Admin-Rechten fragt, ist der Windows-Befehlsprozessor (cmd.exe), der auch tatsächlich von Microsoft signiert ist. Klickt man in dem Abfragefenster auf "Details anzeigen", entdeckt man einige ungewöhnliche Parameter.

    Laut G Data wird der Beta Bot genannte Schädling für rund 500 Euro in einem Untergrundforum gehandelt. Dort wird er mit dem Versprechen angeboten, dass er fast 30 Virenschutzprogrammen den Garaus machen kann. Freilich muss der Schädling dazu erst einmal erfolgreich am Virenwächter vorbei ins System geschleust werden. Cyber-Kriminelle nutzen dafür sogenannte Crypter; das sind spezielle Tools, die den Schädling etwa durch Verschlüsselung so modifizieren, dass ihn das Antivirenprogramm nicht mehr erkennt.
    Hat Beta Bot erst mal einen Fuß in der Tür, wird man ihn so schnell auch nicht mehr los. Gelingt es ihm, den Virenschutz zu deaktivieren, ist ein späteres Erkennen – etwa nachdem der Antiviren-Hersteller den Schädling in seine Signaturdatenbank aufgenommen hat – ausgeschlossen. Laut G Data verfügt die Malware über den typischen Funktionsumfang eines Bots: Er führt auf Zuruf zum Beispiel etwa DoS-Attacken aus oder stiehlt Informationen. Die gefälschten Fehlermeldung kann er in zehn Sprachen produzieren.
    Angewiesen ist ein moderner Schädling auf Admin-Rechte übrigens nicht. Auch mit Benutzerrechten kann sich eine Malware dauerhaft ins System einnisten und sich anschließend etwa in die Online-Banking-Sitzung seines Opfers einklinken oder Zugangsdaten ausspähen.

    heise-security.de

     
    #1
    Tina Redlight gefällt das.

Diese Seite empfehlen