Beta-Bot deaktiviert Virenscanner

Michael Schäfer
56 Kommentare

Der Hersteller von Antiviren-Software GData hat auf einen Schädling hingewiesen, welcher über gefälschte Windowsfehlermeldungen versucht, Administrator-Rechte zu erlangen, um damit Kontrolle über eventuelle Anti-Viren-Programme zu erhalten und diese deaktivieren zu können.

Laut Angaben des in Bochum ansässigen Unternehmens wird der genannte Schädling für knapp 500 Euro in Untergrundforen veräußert, was verglichen mit den funktionalen Möglichkeiten fast schon als Schnäppchen bezeichnet wird. Dieser verfügt erst einmal über die typischen Fähigkeiten eines Bots, was bedeutet, dass er das System nach Schwachstellen durchsucht, über die er angreifen, DoS-Attacken ausführen und Informationen stehlen kann.

Zudem wird er damit beworben, dass die Schadsoftware über 30 Anti-Viren-Programme unter seine Kontrolle bringen kann und somit eine Erkennung schwerfällt. Dies geschieht durch Verwendung eines Crypters, welcher den Virus soweit verschlüsselt, dass dieser unbemerkt an dem Kontrollprogramm vorbei kommen kann, da er so von diesem nicht mehr erkannt wird. Ist der Virenschutz anschließend erst einmal deaktiviert, kann der Schädling auch im nachhinein nicht mehr erkannt werden, da dieser sich darauf versteht, Prozesse zu beenden oder Registry-Einträge verändern zu können, um dadurch auch die Update-Funktion des Scanners zu deaktivieren.

Die Kontrolle über den Virenscanner erfolgt unter anderem über die Benutzerkontensteuerung (UAC). Hierbei wird dem Benutzer eine fingierte Fehlermeldung präsentiert, welche er bestätigen muss. Dieser zur Folge ist es zu einem kritischen Festplattenfehler gekommen, welcher im Ordner „Eigene Dokumente“ zu einem Datenverlust führen kann. Dem Benutzer wird daraufhin eine Schaltfläche mit der Bezeichnung „Dateien wiederherstellen“ angeboten, woraufhin ein weiterer Dialog erscheint, welcher vom originalen UAC ausgegeben wird. Nur wird bei Bestätigung kein Wiederherstellungsvorgang eingeleitet, sondern der Benutzer verleiht dem Schädling dadurch Administrator-Rechte. Mit diesen ist es ihm dann möglich, Schutzprogramme zu deaktivieren.

Vorgehensweise des Beta-Bot

Das Erkennen der gefälschten Fehlermeldungen ist für Laien fast unmöglich. Der Prozess, welcher nach den gesonderten Rechten verlangt, ist der Windows-Befehlsprozessor (cmd.exe), welche auch tatsächlich eine Signatur von Microsoft enthält. Ein näherer Blick über die Details offenbart aber ungewöhnliche Parameter, welche jedoch nur Experten erkennen dürften.

Aber auch ohne Administrator-Rechte ist der Beta-Bot nicht ungefährlich. Es besteht trotz allem immer noch die Gefahr, dass der Schädling Zugangsdaten, wie etwa von sozialen Netzwerken oder des Online Banking, ausspähen kann.

Du hast rund um den Black Friday einen tollen Technik-Deal gefunden? Teile ihn mit der Community!