Die Antivirenexperten von G Data haben einen Bot gesichtet, der mit einem perfiden Trick versucht, den Virenscanner kalt zu stellen: Er zeigt eine gefälschte Windows-Fehlermeldung an, um sich Admin-Rechte zu erschleichen.
Laut der gefälschten Fehlermeldung ist ein kritischer Festplattenfehler aufgetreten; ausgerechnet im Ordner "Eigene Dokumente" soll ein Datenverlust drohen. Klickt der Nutzer auf "Dateien wiederherstellen", erscheint ein Dialog der Benutzerkontensteuerung (UAC) – der ist allerdings echt. Wer diesen in dem Glauben, dass dadurch eine Datenrettung angestoßen wird, abnickt, verleiht dem Bot Admin-Rechte. Diese benötigt er, um die Virenschutzsoftware abzuschalten.
Erkennen kann man die durch vom Bot initiierten UAC-Abfragen bestenfalls auf den zweiten Blick: Der Prozess, der nach den Admin-Rechten fragt, ist der Windows-Befehlsprozessor (cmd.exe), der auch tatsächlich von Microsoft signiert ist. Klickt man in dem Abfragefenster auf "Details anzeigen", entdeckt man einige ungewöhnliche Parameter.
Laut G Data wird der Beta Bot genannte Schädling für rund 500 Euro in einem Untergrundforum gehandelt. Dort wird er mit dem Versprechen angeboten, dass er fast 30 Virenschutzprogrammen den Garaus machen kann. Freilich muss der Schädling dazu erst einmal erfolgreich am Virenwächter vorbei ins System geschleust werden. Cyber-Kriminelle nutzen dafür sogenannte Crypter; das sind spezielle Tools, die den Schädling etwa durch Verschlüsselung so modifizieren, dass ihn das Antivirenprogramm nicht mehr erkennt.
Hat Beta Bot erst mal einen Fuß in der Tür, wird man ihn so schnell auch nicht mehr los. Gelingt es ihm, den Virenschutz zu deaktivieren, ist ein späteres Erkennen – etwa nachdem der Antiviren-Hersteller den Schädling in seine Signaturdatenbank aufgenommen hat – ausgeschlossen. Laut G Data verfügt die Malware über den typischen Funktionsumfang eines Bots: Er führt auf Zuruf zum Beispiel etwa DoS-Attacken aus oder stiehlt Informationen. Die gefälschten Fehlermeldung kann er in zehn Sprachen produzieren.
Angewiesen ist ein moderner Schädling auf Admin-Rechte übrigens nicht. Auch mit Benutzerrechten kann sich eine Malware dauerhaft ins System einnisten und sich anschließend etwa in die Online-Banking-Sitzung seines Opfers einklinken oder Zugangsdaten ausspähen.
heise-security.de
Laut der gefälschten Fehlermeldung ist ein kritischer Festplattenfehler aufgetreten; ausgerechnet im Ordner "Eigene Dokumente" soll ein Datenverlust drohen. Klickt der Nutzer auf "Dateien wiederherstellen", erscheint ein Dialog der Benutzerkontensteuerung (UAC) – der ist allerdings echt. Wer diesen in dem Glauben, dass dadurch eine Datenrettung angestoßen wird, abnickt, verleiht dem Bot Admin-Rechte. Diese benötigt er, um die Virenschutzsoftware abzuschalten.
Erkennen kann man die durch vom Bot initiierten UAC-Abfragen bestenfalls auf den zweiten Blick: Der Prozess, der nach den Admin-Rechten fragt, ist der Windows-Befehlsprozessor (cmd.exe), der auch tatsächlich von Microsoft signiert ist. Klickt man in dem Abfragefenster auf "Details anzeigen", entdeckt man einige ungewöhnliche Parameter.
Laut G Data wird der Beta Bot genannte Schädling für rund 500 Euro in einem Untergrundforum gehandelt. Dort wird er mit dem Versprechen angeboten, dass er fast 30 Virenschutzprogrammen den Garaus machen kann. Freilich muss der Schädling dazu erst einmal erfolgreich am Virenwächter vorbei ins System geschleust werden. Cyber-Kriminelle nutzen dafür sogenannte Crypter; das sind spezielle Tools, die den Schädling etwa durch Verschlüsselung so modifizieren, dass ihn das Antivirenprogramm nicht mehr erkennt.
Hat Beta Bot erst mal einen Fuß in der Tür, wird man ihn so schnell auch nicht mehr los. Gelingt es ihm, den Virenschutz zu deaktivieren, ist ein späteres Erkennen – etwa nachdem der Antiviren-Hersteller den Schädling in seine Signaturdatenbank aufgenommen hat – ausgeschlossen. Laut G Data verfügt die Malware über den typischen Funktionsumfang eines Bots: Er führt auf Zuruf zum Beispiel etwa DoS-Attacken aus oder stiehlt Informationen. Die gefälschten Fehlermeldung kann er in zehn Sprachen produzieren.
Angewiesen ist ein moderner Schädling auf Admin-Rechte übrigens nicht. Auch mit Benutzerrechten kann sich eine Malware dauerhaft ins System einnisten und sich anschließend etwa in die Online-Banking-Sitzung seines Opfers einklinken oder Zugangsdaten ausspähen.
heise-security.de