1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojanisches Pferd blockiert Antivirus-Updates

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 25. Februar 2011.

  1. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]Ein bereits seit einigen Wochen verbreiteter Schädling versucht Cloud-basierte Antivirusprogramme zu manipulieren. Das Trojanische Pferd Bohu verhindert die Verbindung der Virenscanner zum Update-Server, sodass sie sich nicht aktualisieren können.[/FONT]
    [FONT=&quot]Cloud-basierte Antivirusprogramme sind darauf angewiesen eine aktive Online-Verbindung nutzen zu können. Ohne Internet-Zugang können sie potenziell schädliche Dateien nicht prüfen. Ein Trojanisches Pferd namens "W32/Bohu", das seit Mitte Januar in China grassiert, unterbindet dies mit verschiedenen Techniken. Ein Online-Check zeigt, ob der Rechner verseucht ist.[/FONT]
    [FONT=&quot]Bereits im Januar hatten Jingli Li und Zhitao Zhou im

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    über die Entdeckung von W32/Bohu berichtet. Sie schildern, wie der Schädling die Entdeckung durch Cloud-basierte Virenscanner zu verhindern versucht. Bohu ist zwar ein chinesisches Problem, doch auch hier könnten bald vergleichbare Schädlinge auftauchen.[/FONT]

    [FONT=&quot]Das Trojanische Pferd wird mit üblichen Maschen aus der Trickkiste des Social Engineering (etwa als vorgeblicher Video Player) verbreitet. Es hängt zufälligen Datenmüll an das Ende seiner Programmdateien, um die Erkennung mittels Prüfsummen (Hashes) zu verhindern. Hash-basierte Erkennung ist eine bei Cloud-Antivirus übliche Technik.[/FONT]
    [FONT=&quot]Um den Kontakt mit der Cloud, also mit dem Update- oder Scan-Server, zu unterbinden, installiert W32/Bohu einen SPI-Filter (Service Provider Interface) sowie einen NDIS-Treiberfilter (Network Driver Interface Specification). Letzter blockiert das Hochladen von Dateien zum Scan-Server eines Antivirusherstellers.[/FONT]
    [FONT=&quot]Der Schädling blockiert laut Microsoft vorwiegend in China populäre Antivirusprodukte, die bei uns wenig bekannt sind. Er verhindert jedoch auch die Aktualisierung von Kaspersky Antivirus. Wie Tillmann Werner im

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    berichtet, hat Kaspersky Lab einen Online-Check für Bohu-Infektionen eingerichtet. Dieser versucht Daten von Kaspersky-Websites zu laden, die von Bohu blockiert werden. Scheitert das, zeigt die Testseite an, der Rechner sei infiziert.[/FONT]

    [FONT=&quot]Wenn Sie die Firefox-Erweiterung Request Policy einsetzen, kann diese Meldung falsch sein. Sie müssen dann zunächst die Anfragen an die entsprechenden Kaspersky-Domains erlauben, damit der Test funktionieren kann. Falls der Rechner infiziert ist, können Sie Kasperskys Boot-CD Rescue Disk einsetzen, um den Befall zu beseitigen.[/FONT]
     
    #1
    winnipu und claus13 gefällt das.

Diese Seite empfehlen