Beta-Bot ergaunert sich Admin-Rechte und killt Virenscanner

Mit einem perfiden Trick versucht der Bot, sein Opfer dazu zu bringen, einen UAC-Dialog abzunicken. Die Admin-Rechte benötigt er, um anschließend den Virenscanner abzuschießen.

In Pocket speichern vorlesen Druckansicht 176 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Die Antivirenexperten von G Data haben einen Bot gesichtet, der mit einem perfiden Trick versucht, den Virenscanner kalt zu stellen: Er zeigt eine gefälschte Windows-Fehlermeldung an, um sich Admin-Rechte zu erschleichen.

Zunächst täuscht Beta Bot einen Festplattenfehler vor...

(Bild: G Data)

Laut der gefälschten Fehlermeldung ist ein kritischer Festplattenfehler aufgetreten; ausgerechnet im Ordner "Eigene Dokumente" soll ein Datenverlust drohen. Klickt der Nutzer auf "Dateien wiederherstellen", erscheint ein Dialog der Benutzerkontensteuerung (UAC) – der ist allerdings echt. Wer diesen in dem Glauben, dass dadurch eine Datenrettung angestoßen wird, abnickt, verleiht dem Bot Admin-Rechte. Diese benötigt er, um die Virenschutzsoftware abzuschalten.

Erkennen kann man die durch vom Bot initiierten UAC-Abfragen bestenfalls auf den zweiten Blick: Der Prozess, der nach den Admin-Rechten fragt, ist der Windows-Befehlsprozessor (cmd.exe), der auch tatsächlich von Microsoft signiert ist. Klickt man in dem Abfragefenster auf "Details anzeigen", entdeckt man einige ungewöhnliche Parameter.

...um schließlich per UAC nach den Admin-Rechten zu greifen.

(Bild: G Data)

Laut G Data wird der Beta Bot genannte Schädling für rund 500 Euro in einem Untergrundforum gehandelt. Dort wird er mit dem Versprechen angeboten, dass er fast 30 Virenschutzprogrammen den Garaus machen kann. Freilich muss der Schädling dazu erst einmal erfolgreich am Virenwächter vorbei ins System geschleust werden. Cyber-Kriminelle nutzen dafür sogenannte Crypter; das sind spezielle Tools, die den Schädling etwa durch Verschlüsselung so modifizieren, dass ihn das Antivirenprogramm nicht mehr erkennt.

Hat Beta Bot erst mal einen Fuß in der Tür, wird man ihn so schnell auch nicht mehr los. Gelingt es ihm, den Virenschutz zu deaktivieren, ist ein späteres Erkennen – etwa nachdem der Antiviren-Hersteller den Schädling in seine Signaturdatenbank aufgenommen hat – ausgeschlossen. Laut G Data verfügt die Malware über den typischen Funktionsumfang eines Bots: Er führt auf Zuruf zum Beispiel etwa DoS-Attacken aus oder stiehlt Informationen. Die gefälschten Fehlermeldung kann er in zehn Sprachen produzieren.

Angewiesen ist ein moderner Schädling auf Admin-Rechte übrigens nicht. Auch mit Benutzerrechten kann sich eine Malware dauerhaft ins Benutzerprofil einnisten und sich anschließend etwa in die Online-Banking-Sitzung seines Opfers einklinken oder Zugangsdaten ausspähen.

Update vom 14. Mai 2013, 22 Uhr: Im letzten Absatz wurden die Angaben zu den Folgen einer Infektion ohne Adminrechte konkretisiert. (rei)