Trickbot-Trojaner hebelt Benutzerkontensteuerung von Windows 10 aus

Der Sicherheitsforscher Vitali Kremez, Chef von Sentinel Labs, hat eine neue Version des Windows-Trojaners Trickbot entdeckt. Sie ist in der Lage, die Benutzerkontensteuerung von Windows 10 auszuhebeln, wie Bleeping Computer berichtet. Es ist also möglich, die Schadsoftware auf einem System zu installieren, ohne das eine Warnmeldung angezeigt wird.

Die Benutzerkontensteuerung umgeht der Trojaner mithilfe des bereits 2017 entdeckten Fodhelper UAC Bypass. Der Name stammt von dem legitimen Microsoft-Tool „fodhelper.exe“, dass sich im Ordner „Windows\System32“ befindet. Es erlaubt es, andere Programme ohne Administratorrechte auszuführen.

„Fodhelper-exe ist eine vertrauenswürdige Datei von Windows 10, die Trickbot nutzt, um Schadcode über die Registry-Methode bei Umgehung der Benutzerkontensteuerung auszuführen“, zitiert Bleeping Computer den Forscher. Da Windows 10 Fodhelper aus vertrauenswürdig einstuft, ist eine automatische Ausweitung von Benutzerrechten möglich, ohne dass die Benutzerkontensteuerung eingreift. Auch bei Programmen, die von Fodhelper gestartet werden, erscheint keine Nachfrage.

Diesen Umstand macht sich Trickbot zunutze, um sich selbst zu starten. Da keine Warnung der Benutzerkontensteuerung erscheint, sind Nutzer auch nicht in der Lage zu erkenne, dass eine Schadsoftware auf ihrem Rechner läuft.

Bleeping Computer weist darauf hin, dass mit der zunehmenden Verbreitung von Windows 10 immer mehr Schadprogramme gezielt das Betriebssystem und dessen Sicherheitsfunktionen ins Visier nehmen. Beispiele seien der Banking-Trojaner Rootkit, der ebenfalls auf den Fodhelper-Bypass zurückgreift. TrickBot versuche wiederum seit Juli 2019, verschiedene Scan-Optionen von Windows Defender abzuschalten.