Virus schaltet eigenmächtig Virenscanner ab.

Viren

Mitarbeiter von G Data haben einen Bot entdeckt, der in der Lage ist, den Virenscanner eines Computers auszuschalten und der sich dafür Admin-Rechte beschafft. Der sogenannte Beta-Bot bedient sich dabei eines perfiden Tricks. Wenn die Malware auf den Computer gelangt ist, erzeugt er eine Fehlermeldung, die davor warnt, dass ein Festplattenfehler vorliegt und der Verlust von Daten droht.

Die gefälschte Fehlermeldung bietet daraufhin an, die Dateien wiederherzustellen. Ein Klick auf diese Schaltfläche der gefälschten Fehlermeldung und es öffnet sich ein Dialog der Benutzerkontensteuerung, das allerdings echt ist. Wenn man den Zugriff auf das System gewährt, erteilt man dem Beta-Bot, Admin-Rechte auf dem Rechner. Mit diesen umfassenden Befugnissen ausgestattet schaltet das Schadprogramm dann eigenmächtig den auf dem System installierten Virenscanner ab. Es reichen oft auch schon Benutzerrechte, damit diese Strategie funktioniert. Der Beta-Bot ist nicht in jedem Fall auf die Admin-Rechte direkt angewiesen.

Wenn der Beta-Bot erst den PC infiziert hat, kann er nicht wieder mit einem herkömmlichen Anti-Viren-Programm entfernt werden, da, selbst wenn der Hersteller die Virensignatur des Beta-Bots in seine Virenidentifikationsdatenbank aufgenommen hat, das Erkennen unmöglich ist. Er verhält sich dann von seinen Funktionen her wie ein typischer Bot. Er stiehlt wohlmöglich Daten, beispielsweise durch das Ausspähen von Online-Banking-Sitzungen, oder führt DoS-Attacken aus.

Den Experten von G Data zufolge ist der Beta-Bot in der Lage über 30 verschiedene Anti-Viren-Programme zu deaktivieren und kann die gefälschte Fehlermeldung in 10 verschiedenen Sprachen anzeigen.

Die Malware muss aber zunächst überhaupt am noch aktiven Virenscanner vorbei kommen, um mit seinem Täuschmanöver an die Rechte zu kommen. Damit die virtuellen Wächter die Schädlinge nicht erkennen, verschlüsseln die Cyber-Kriminellen ihre Schadsoftware mit sogenannten „Cryptern“, sodass sie bis zur Unkenntlichkeit modifiziert werden und für die Anti-Viren-Programme nicht mehr als schädlich identifiziert werden.

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.