Categories: Sicherheit

Wie Trojaner die Antivirensoftware austricksen

Ein Antivirenprogramm darf sich nicht so leicht von einem Trojaner austricksen lassen. Vista lässt einige ausgebuffte Methoden mit aktiviertem Bitlocker gar nicht erst zu.

Warum jedoch kompliziert denken, wenn der einfachste und älteste Trick der Welt funktioniert?

Ich probiere es an einen Laptop mit TPM-BIOS aus. Vista ist mit allen Patches installiert. Bitlocker hat die Platte verschlüsselt und verweigert das Booten, wenn nur der kleinste Parameter in meiner Bootkonfiguration verändert wird. Dann hilft nur noch ein Sicherheits-USB-Stick und ein unendlich langer Unlock-Code.

Zunächst einige Tests:

  • Anti-Virus-Prozesse killen: Fehlanzeige.
  • Dienste herunterfahren: nicht möglich.
  • Registry-Keys löschen: wird trotz Admin-Rechten verweigert.
  • Antivirendateien löschen: Vista spielt nicht mit.

Der älteste Trick der Welt ist das Umbenennen des Antiviren-Verzeichnisses. Schon findet Vista beim nächsten Booten keine Anti-Virus-Software mehr. Doch per Kommandozeile lässt sich Vista nicht an der Nase herumführen.

Ich erinnere mich an eine Funktion aus Windows NT 3.1. Damals gab es noch nicht so schöne, bunte Windows-Updates. Um eine Datei, die von Windows benutzt wurde, zu löschen oder umzubenennen, musste Windows angewiesen werden, dies unmittelbar nach dem nächsten Reboot zu erledigen.

Ein Blick ins MSDN gibt Auskunft. Der Parameter MOVEFILE_DELAY_UNTIL_REBOOT ist immer noch möglich. Vista und Windows 2008 werden als unterstützte Betriebssysteme explizit genannt.

Ich schreibe einen Zehnzeiler in C++ und benenne damit das Verzeichnis McAfee in McAfee-ausgetrickst um.

Die Umbenennung muss Windows laut Beschreibung direkt nach dem Laden von Kernel und Filesystem durchführen, also vor dem Laden der Antivirensoftware.

Ich boote neu. Mein Rechner ist viel schneller. Antivirensoftware ist nicht aktiv. Das Sicherheitscenter schlägt keinen Alarm. Der Rest ist Pflichtprogramm. Schnell noch eine Taskbar-Ikone programmiert, die genauso aussieht wie mein Antivirenprogramm. Bewege ich die Maus darüber, so erscheint die Meldung: „Rechner geschützt, keine Bedrohung gefunden“.

Das wird dem Programmierer eines Trojaners sicherlich auch einfallen. Odysseus hatte es da mit seinem Hardware-Trojaner 1.0 deutlich schwerer. Troja ist nicht Vista. Die Bewohner der Stadt hatten sich nicht die Mühe der Befestigung gemacht, um Odysseus, wenn er nur freundlich anklopft, sofort zum König zu erheben.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago