Antivirenprogramme » Beta Bot greift Antivirusprogramme an

Social Engineering

Beta Bot greift Antivirusprogramme an



08.05.2013
Neben den üblichen Bot-Funktionen soll Beta Bot auch Antivirus-Software ausschalten können.




wysiwyg image
© G Data




Wenn in Untergrundforen ein neuer Bot angeboten wird, ist das ein
guter Grund ihn näher zu betrachten. Etwa seit Anfang März ist Beta Bot
auf dem Markt, der kaum 500 Euro kosten soll. Er bietet die üblichen
Funktionen, die ein Bot mitbringen muss: Fernsteuerung, Datendiebstahl, DoS-Angriffe. Doch Beta Bot kann laut Werbung auch "Antivirus unwirksam machen".

Der Bochumer Antivirushersteller G Data
hat sich Beta Bot genauer ansehen. Die Werbung für Beta Bot in
Untergrundforen liefert eine Liste mit knapp 30 Sicherheitslösungen, die
der Bot deaktivieren können soll. Findet der Bot nach seiner
Installation auf einem PC eine dieser Lösungen, startet er seine
Angriffe darauf.

Er versucht Prozesse zu beenden, Registry-Schlüssel zu
verändern oder die Update-Funktion zu blockieren. Außerdem versucht er
die Desktop-Firewall zu umgehen, indem er sich in Prozesse wie den
Internet Explorer einklinkt, die üblicherweise ins Internet dürfen.

Unter neueren Windows-Versionen (ab Vista) muss er sich zunächst die
nötigen Berechtigungen dafür verschaffen. Der Weg dorthin führt über die
Benutzerkontensteuerung. Er startet einen auf den ersten Blick
unverdächtig erscheinenden Prozess, den Windows-Befehlsprozessor
(cmd.exe). Erst bei näherer Betrachtung der Details im Dialog der
Benutzerkontensteuerung sieht man, dass dieser mit Hilfe spezieller
Parameter ein anderes Programm aufruft. Dieses erbt die Berechtigungen
seines Elternprozesses.









Mehr lesen


Übersicht: Kaufberatungen auf einen Blick

Übersicht: Alle Bestenlisten im Überblick






Um auch den letzten Verdacht zu zerstreuen, zeigt der Bot zunächst eine Fehlermeldung
an. Die besagt, es seien Fehler auf der Festplatte gefunden worden. Er
bietet an, diese zu beheben. Dabei macht es keinen Unterschied, welche
der beiden Optionen der Benutzer wählt. Es folgt der Aufruf des
Befehlsprozessors, mit dem sich Beta Bot Admin-Rechte verschafft. Damit kann er die installierte Antiviruslösung ausschalten.
Auffällig ist, dass Beta Bot den Benutzer duzt, wenn er die
Fehlermeldung anzeigt. Das macht Windows normalerweise nicht. Hier
könnte ein aufmerksamer Benutzer Verdacht schöpfen. Verdächtig ist
ferner, dass die vorgebliche Reparatur der Festplatte über den Befehlsprozessor cmd.exe gestartet wird. Auch das ist nicht Windows-typisch.

Letztlich
muss der Benutzer jedoch darauf hoffen, dass sein Antivirusprogramm
diesen Schädling bereits entdeckt und unschädlich macht, bevor der Bot
aktiv werden kann. Damit derlei Schädlinge gar nicht erst so weit
kommen, sollte der PC zudem stets auf dem neuesten Update-Stand gehalten
werden.
Quelle des Berichts:
http://www.pc-magazin.de/news/beta-bot-g...dium=newsletter