Categories: Sicherheit

Wie Trojaner die Antivirensoftware austricksen

Ein Antivirenprogramm darf sich nicht so leicht von einem Trojaner austricksen lassen. Vista lässt einige ausgebuffte Methoden mit aktiviertem Bitlocker gar nicht erst zu.

Warum jedoch kompliziert denken, wenn der einfachste und älteste Trick der Welt funktioniert?

Ich probiere es an einen Laptop mit TPM-BIOS aus. Vista ist mit allen Patches installiert. Bitlocker hat die Platte verschlüsselt und verweigert das Booten, wenn nur der kleinste Parameter in meiner Bootkonfiguration verändert wird. Dann hilft nur noch ein Sicherheits-USB-Stick und ein unendlich langer Unlock-Code.

Zunächst einige Tests:

  • Anti-Virus-Prozesse killen: Fehlanzeige.
  • Dienste herunterfahren: nicht möglich.
  • Registry-Keys löschen: wird trotz Admin-Rechten verweigert.
  • Antivirendateien löschen: Vista spielt nicht mit.

Der älteste Trick der Welt ist das Umbenennen des Antiviren-Verzeichnisses. Schon findet Vista beim nächsten Booten keine Anti-Virus-Software mehr. Doch per Kommandozeile lässt sich Vista nicht an der Nase herumführen.

Ich erinnere mich an eine Funktion aus Windows NT 3.1. Damals gab es noch nicht so schöne, bunte Windows-Updates. Um eine Datei, die von Windows benutzt wurde, zu löschen oder umzubenennen, musste Windows angewiesen werden, dies unmittelbar nach dem nächsten Reboot zu erledigen.

Ein Blick ins MSDN gibt Auskunft. Der Parameter MOVEFILE_DELAY_UNTIL_REBOOT ist immer noch möglich. Vista und Windows 2008 werden als unterstützte Betriebssysteme explizit genannt.

Ich schreibe einen Zehnzeiler in C++ und benenne damit das Verzeichnis McAfee in McAfee-ausgetrickst um.

Die Umbenennung muss Windows laut Beschreibung direkt nach dem Laden von Kernel und Filesystem durchführen, also vor dem Laden der Antivirensoftware.

Ich boote neu. Mein Rechner ist viel schneller. Antivirensoftware ist nicht aktiv. Das Sicherheitscenter schlägt keinen Alarm. Der Rest ist Pflichtprogramm. Schnell noch eine Taskbar-Ikone programmiert, die genauso aussieht wie mein Antivirenprogramm. Bewege ich die Maus darüber, so erscheint die Meldung: „Rechner geschützt, keine Bedrohung gefunden“.

Das wird dem Programmierer eines Trojaners sicherlich auch einfallen. Odysseus hatte es da mit seinem Hardware-Trojaner 1.0 deutlich schwerer. Troja ist nicht Vista. Die Bewohner der Stadt hatten sich nicht die Mühe der Befestigung gemacht, um Odysseus, wenn er nur freundlich anklopft, sofort zum König zu erheben.

ZDNet.de Redaktion

Recent Posts

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

11 Stunden ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

1 Tag ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

1 Tag ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

1 Tag ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

1 Tag ago

1 Million Dollar: Apple zahlt Prämie für Hack seiner Apple Intelligence Server

Ein neues Bug-Bounty-Programm beschäftigt sich mit Apples Private Cloud Compute. Prämien gibt es unter für…

2 Tagen ago