Die Macher des Erpressungstrojaners REvil nutzen aktuell einen ausgefallenen Weg, um an installierter Antiviren-Software vorbeizukommen. Sie starten das System in den abgesicherten Modus von Windows, in dem zum Beispiel der Defender nicht mehr läuft, nachdem sie etwa über die Exchange-Lücke in den Rechner eingedrungen sind und dabei Systemrechte erlangt haben.

REvil sorgt dafür, dass Windows beim nächsten Neustart automatisch in den abgesicherten Modus hochfährt, um dann einen Neustart zu erzwingen. Dabei aktiviert der Trojaner den Netzwerkmodus, um dann gegebenenfalls weitere Schadprogramme aus dem Internet nachzuladen und zu installieren. Normalerweise soll der abgesicherte Modus bei Problemen im Windows helfen. Dabei werden viele Treiber, Hintergrunddienste, Anwendungen und administrative Skripte nicht gestartet. Dazu zählt auch der Microsoft Virenwächter Windows Defender und möglicherweise weitere Sicherheitsprogramme Dritter. Somit kann REvil ungestört auf dem System agieren.

Der Windows-Anmeldebildschirm gibt noch keinen expliziten Hinweis auf den abgesicherten Modus, sondern das gewohnte, individuelle Hintergrundbild. Zwar erscheint nach der Anmeldung der Text "abgesicherter Modus" auf dem Hintergrund, allerdings ist es dann schon zu spät und REvil hat bereits begonnen, Dateien zu verschlüsseln. Hinweise auf den abgesicherten Modus können beispielsweise eine veränderte Auflösung oder permanente Festplattenzugriffe geben, dass da etwas nicht stimmt.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE