Social Engineering

Beta Bot greift Antivirusprogramme an

Neben den üblichen Bot-Funktionen soll Beta Bot auch Antivirus-Software ausschalten können.

G Data Logo Aufmacher

© G Data

G Data Logo Aufmacher

Wenn in Untergrundforen ein neuer Bot angeboten wird, ist das ein guter Grund ihn näher zu betrachten. Etwa seit Anfang März ist Beta Bot auf dem Markt, der kaum 500 Euro kosten soll. Er bietet die üblichen Funktionen, die ein Bot mitbringen muss: Fernsteuerung, Datendiebstahl, DoS-Angriffe. Doch Beta Bot kann laut Werbung auch "Antivirus unwirksam machen".

Der Bochumer Antivirushersteller G Data hat sich Beta Bot genauer ansehen. Die Werbung für Beta Bot in Untergrundforen liefert eine Liste mit knapp 30 Sicherheitslösungen, die der Bot deaktivieren können soll. Findet der Bot nach seiner Installation auf einem PC eine dieser Lösungen, startet er seine Angriffe darauf.

Er versucht Prozesse zu beenden, Registry-Schlüssel zu verändern oder die Update-Funktion zu blockieren. Außerdem versucht er die Desktop-Firewall zu umgehen, indem er sich in Prozesse wie den Internet Explorer einklinkt, die üblicherweise ins Internet dürfen.

Unter neueren Windows-Versionen (ab Vista) muss er sich zunächst die nötigen Berechtigungen dafür verschaffen. Der Weg dorthin führt über die Benutzerkontensteuerung. Er startet einen auf den ersten Blick unverdächtig erscheinenden Prozess, den Windows-Befehlsprozessor (cmd.exe). Erst bei näherer Betrachtung der Details im Dialog der Benutzerkontensteuerung sieht man, dass dieser mit Hilfe spezieller Parameter ein anderes Programm aufruft. Dieses erbt die Berechtigungen seines Elternprozesses.

Um auch den letzten Verdacht zu zerstreuen, zeigt der Bot zunächst eine Fehlermeldung an. Die besagt, es seien Fehler auf der Festplatte gefunden worden. Er bietet an, diese zu beheben. Dabei macht es keinen Unterschied, welche der beiden Optionen der Benutzer wählt. Es folgt der Aufruf des Befehlsprozessors, mit dem sich Beta Bot Admin-Rechte verschafft. Damit kann er die installierte Antiviruslösung ausschalten.

Auffällig ist, dass Beta Bot den Benutzer duzt, wenn er die Fehlermeldung anzeigt. Das macht Windows normalerweise nicht. Hier könnte ein aufmerksamer Benutzer Verdacht schöpfen. Verdächtig ist ferner, dass die vorgebliche Reparatur der Festplatte über den Befehlsprozessor cmd.exe gestartet wird. Auch das ist nicht Windows-typisch.Letztlich muss der Benutzer jedoch darauf hoffen, dass sein Antivirusprogramm diesen Schädling bereits entdeckt und unschädlich macht, bevor der Bot aktiv werden kann. Damit derlei Schädlinge gar nicht erst so weit kommen, sollte der PC zudem stets auf dem neuesten Update-Stand gehalten werden.

image.jpg

© G Data/fz

Mit einer falschen Fehlermeldung verschafft sich der Beta Bot Zugang zum System.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…