Virus mit Firewall-Funktion

Zu verhindern, dass ein einmal infizierter PC Updates und Informationen von AV-Herstellern aus dem Internet lädt, gehört schon fast zum Standardprogramm aktueller Schädlinge. Ein neuer Bagle-Wurm nutzt dafür Firewall-Funktionen.

In Pocket speichern vorlesen Druckansicht 477 Kommentare lesen
Lesezeit: 1 Min.

Zu verhindern, dass ein einmal infizierter PC Updates und Informationen von AV-Herstellern aus dem Internet lädt, gehört schon fast zum Standardprogramm aktueller Schädlinge. F-Secure hat jetzt jedoch erstmals ein Exemplar entdeckt, das dies über richtige Firewall-Funktionen realisiert.

Normalerweise verhindern Viren die Verbindungen zu Update-Sites über Einträge in der hosts-Datei. Dort sorgt ein Eintrag wie beispielsweise

127.0.0.1 windowsupdate.microsoft.com

dafür, dass Verbindungsversuche mit der Windows-Update-Seite auf den lokalen Rechner umgeleitet werden, der sie nicht beantworten kann.

F-Secure hat bei der Analyse einer neuen Bagle-Variante festgestellt, dass dieser das Paketfilter-API von Windows nutzt, um Pakete an bestimmte Adressen auszufiltern. Auf der Liste der geblockten Sites finden sich wie üblich Adressen von Antiviren-Herstellern und diverse Microsoft-Server. Der von F-Secure als Fantibag.B bezeichnete Schädling realisiert dies über die Bibliothek firewall_anti.dll, die er im Windows-Verzeichnis ablegt und in den Adressraum des Internet Explorer einblendet (DLL-Injection).

Siehe dazu auch: (ju)