Ein Antivirenprogramm darf sich nicht so leicht von einem Trojaner austricksen lassen. Vista lässt einige ausgebuffte Methoden mit aktiviertem Bitlocker gar nicht erst zu.
Warum jedoch kompliziert denken, wenn der einfachste und älteste Trick der Welt funktioniert?
Ich probiere es an einen Laptop mit TPM-BIOS aus. Vista ist mit allen Patches installiert. Bitlocker hat die Platte verschlüsselt und verweigert das Booten, wenn nur der kleinste Parameter in meiner Bootkonfiguration verändert wird. Dann hilft nur noch ein Sicherheits-USB-Stick und ein unendlich langer Unlock-Code.
Zunächst einige Tests:
Der älteste Trick der Welt ist das Umbenennen des Antiviren-Verzeichnisses. Schon findet Vista beim nächsten Booten keine Anti-Virus-Software mehr. Doch per Kommandozeile lässt sich Vista nicht an der Nase herumführen.
Ich erinnere mich an eine Funktion aus Windows NT 3.1. Damals gab es noch nicht so schöne, bunte Windows-Updates. Um eine Datei, die von Windows benutzt wurde, zu löschen oder umzubenennen, musste Windows angewiesen werden, dies unmittelbar nach dem nächsten Reboot zu erledigen.
Ein Blick ins MSDN gibt Auskunft. Der Parameter MOVEFILE_DELAY_UNTIL_REBOOT ist immer noch möglich. Vista und Windows 2008 werden als unterstützte Betriebssysteme explizit genannt.
Ich schreibe einen Zehnzeiler in C++ und benenne damit das Verzeichnis McAfee in McAfee-ausgetrickst um.
Die Umbenennung muss Windows laut Beschreibung direkt nach dem Laden von Kernel und Filesystem durchführen, also vor dem Laden der Antivirensoftware.
Ich boote neu. Mein Rechner ist viel schneller. Antivirensoftware ist nicht aktiv. Das Sicherheitscenter schlägt keinen Alarm. Der Rest ist Pflichtprogramm. Schnell noch eine Taskbar-Ikone programmiert, die genauso aussieht wie mein Antivirenprogramm. Bewege ich die Maus darüber, so erscheint die Meldung: „Rechner geschützt, keine Bedrohung gefunden“.
Das wird dem Programmierer eines Trojaners sicherlich auch einfallen. Odysseus hatte es da mit seinem Hardware-Trojaner 1.0 deutlich schwerer. Troja ist nicht Vista. Die Bewohner der Stadt hatten sich nicht die Mühe der Befestigung gemacht, um Odysseus, wenn er nur freundlich anklopft, sofort zum König zu erheben.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…