ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Beta-Bot deaktiviert Virenscanner

Michael Schäfer
56 Kommentare

Der Hersteller von Antiviren-Software GData hat auf einen Schädling hingewiesen, welcher über gefälschte Windowsfehlermeldungen versucht, Administrator-Rechte zu erlangen, um damit Kontrolle über eventuelle Anti-Viren-Programme zu erhalten und diese deaktivieren zu können.

Laut Angaben des in Bochum ansässigen Unternehmens wird der genannte Schädling für knapp 500 Euro in Untergrundforen veräußert, was verglichen mit den funktionalen Möglichkeiten fast schon als Schnäppchen bezeichnet wird. Dieser verfügt erst einmal über die typischen Fähigkeiten eines Bots, was bedeutet, dass er das System nach Schwachstellen durchsucht, über die er angreifen, DoS-Attacken ausführen und Informationen stehlen kann.

Zudem wird er damit beworben, dass die Schadsoftware über 30 Anti-Viren-Programme unter seine Kontrolle bringen kann und somit eine Erkennung schwerfällt. Dies geschieht durch Verwendung eines Crypters, welcher den Virus soweit verschlüsselt, dass dieser unbemerkt an dem Kontrollprogramm vorbei kommen kann, da er so von diesem nicht mehr erkannt wird. Ist der Virenschutz anschließend erst einmal deaktiviert, kann der Schädling auch im nachhinein nicht mehr erkannt werden, da dieser sich darauf versteht, Prozesse zu beenden oder Registry-Einträge verändern zu können, um dadurch auch die Update-Funktion des Scanners zu deaktivieren.

Die Kontrolle über den Virenscanner erfolgt unter anderem über die Benutzerkontensteuerung (UAC). Hierbei wird dem Benutzer eine fingierte Fehlermeldung präsentiert, welche er bestätigen muss. Dieser zur Folge ist es zu einem kritischen Festplattenfehler gekommen, welcher im Ordner „Eigene Dokumente“ zu einem Datenverlust führen kann. Dem Benutzer wird daraufhin eine Schaltfläche mit der Bezeichnung „Dateien wiederherstellen“ angeboten, woraufhin ein weiterer Dialog erscheint, welcher vom originalen UAC ausgegeben wird. Nur wird bei Bestätigung kein Wiederherstellungsvorgang eingeleitet, sondern der Benutzer verleiht dem Schädling dadurch Administrator-Rechte. Mit diesen ist es ihm dann möglich, Schutzprogramme zu deaktivieren.

Vorgehensweise des Beta-Bot
  1. Vorgehensweise des Beta-Bot
    Vorgehensweise des Beta-Bot (Bild: GData)
Bild 1 von 3

Das Erkennen der gefälschten Fehlermeldungen ist für Laien fast unmöglich. Der Prozess, welcher nach den gesonderten Rechten verlangt, ist der Windows-Befehlsprozessor (cmd.exe), welche auch tatsächlich eine Signatur von Microsoft enthält. Ein näherer Blick über die Details offenbart aber ungewöhnliche Parameter, welche jedoch nur Experten erkennen dürften.

Aber auch ohne Administrator-Rechte ist der Beta-Bot nicht ungefährlich. Es besteht trotz allem immer noch die Gefahr, dass der Schädling Zugangsdaten, wie etwa von sozialen Netzwerken oder des Online Banking, ausspähen kann.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz