Die Macher des Erpressungstrojaners REvil nutzen aktuell einen
ausgefallenen Weg, um an installierter Antiviren-Software vorbeizukommen.
Sie starten das System in den abgesicherten Modus von Windows,
in dem zum Beispiel der Defender nicht mehr läuft, nachdem
sie etwa über die Exchange-Lücke in den Rechner eingedrungen
sind und dabei Systemrechte erlangt haben.
REvil sorgt dafür, dass Windows beim nächsten Neustart
automatisch in den abgesicherten
Modus hochfährt, um dann einen Neustart zu erzwingen. Dabei
aktiviert der Trojaner den Netzwerkmodus, um dann gegebenenfalls
weitere Schadprogramme aus dem Internet nachzuladen und zu installieren.
Normalerweise soll der abgesicherte Modus bei Problemen im Windows
helfen. Dabei werden viele Treiber, Hintergrunddienste, Anwendungen
und administrative Skripte nicht gestartet. Dazu zählt auch
der Microsoft Virenwächter Windows
Defender und möglicherweise weitere Sicherheitsprogramme
Dritter. Somit kann REvil ungestört auf dem System agieren.
Der Windows-Anmeldebildschirm gibt noch keinen expliziten Hinweis
auf den abgesicherten Modus, sondern das gewohnte, individuelle
Hintergrundbild. Zwar erscheint nach der Anmeldung der Text "abgesicherter
Modus" auf dem Hintergrund, allerdings ist es dann schon zu
spät und REvil hat bereits begonnen, Dateien zu verschlüsseln.
Hinweise auf den abgesicherten Modus können beispielsweise
eine veränderte Auflösung oder permanente Festplattenzugriffe
geben, dass da etwas nicht stimmt.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|