Einen Bot haben die Antivirenexperten von G Data gesichtet, der mit einem perfiden Trick versucht, den Virenscanner kalt zu stellen: Um sich Admin-Rechte zu erschleichen, zeigt er eine gefälschte Windows-Fehlermeldung an. Ausgerechnet im Ordner "Eigene Dokumente" soll, laut der gefälschten Fehlermeldung, nach der ein kritischer Festplattenfehler aufgetreten ist, ein Datenverlust drohen.

Klickt der Nutzer auf "Dateien wiederherstellen", erscheint ein Dialog der Benutzerkontensteuerung (UAC). Wer diesen in dem Glauben abnickt, dass dadurch eine Datenrettung angestoßen wird, verleiht dem Bot Admin-Rechte, die dieser benötigt, um die Virenschutzsoftware abzuschalten. Die durch vom Bot initiierten UAC-Abfragen kann man bestenfalls auf den zweiten Blick erkennen: Der Prozess, der die Admin-Rechten verlangt, ist der Windows-Befehlsprozessor (cmd.exe), der auch tatsächlich von Microsoft signiert ist.

Wenn Beta Bot erst mal einen Fuß in der Tür hat, wird man ihn so schnell auch nicht mehr los. Gelingt es ihm, den Virenschutz zu deaktivieren, ist ein späteres Erkennen ausgeschlossen. Die Malware verfügt laut G Data über den typischen Funktionsumfang eines Bots: Er führt zum Beispiel etwa DoS-Attacken aus oder stiehlt Informationen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE