News

Beta Bot schaltet Antivirensoftware ab

Von einem neuen Bot, der mit freundlicher Unterstützung des Computernutzers Antiviren- und andere Sicherheitsoftware wie Firewalls deaktiviert berichtet Antivirenspezialist G-Data. Die Malware erzeugt eine falsche Fehlermeldung, die behauptet im Ordner "Eigene Dokumente" wären einige fehlerhafte Dateien gefunden worden und dass Datenverlust drohe, wenn nicht umgehend gehandelt würde.

"Glücklicherweise" bietet das Fenster mit der Fehlermeldung gleich auch eine fingierte "Datenrettung" an. Klickt der Nutzer auf den Button "Dateien wiederherstellen" erscheint auch gleich die bekannte Nachfrage des UAC, der sich erkundigt, ob die Durchführung dieser Aktion denn gewollt sei: "Möchten Sie zulassen, dass durch das Folgende....". Windows 7 Nutzer kennen diese Frage der Benutzerkontensteuerung sehr gut. So ist das Erscheinen dieser Warnung auch nicht sehr verdächtig, weil der Nutzer ja eine Aktion im vorherigen Fenster angestoßen hat. Was der Nutzer nicht weiß, ist dass die Meldung falsch ist. Die Anfrage kommt vom "Windows Befehlsprozessor" (Dos-Box) und dieser ist schließlich auch von Microsoft zertifiziert. Klickt der Nutzer hier auf "Ja", räumt er dem Bot Administrator-Rechte ein und dieser kann dann nach Belieben den Virenscanner abstellen, das Automatische Update der Antivirensoftware unterbinden, Programme manipulieren und Daten an der Firewall vorbei zum Angreifer senden. Selbst wenn der Virenscanner danach wieder aktiviert wird, ist es sehr unwahrscheinlich, dass er die Malware, die sich bereits im System eingenistet hat, erkennt geschweige denn sie entfernen kann. Wie man den Bot wieder los wird, oder wie man ihn überhaupt erkennt, wenn er sich schon auf dem Computer befindet, hat G-Data noch nicht beschrieben.