News

„Einfrieren“ der Festplatte als Selbstschutz

Die Experten des auf Netzsicherheit spezialisierten vietnamesischen Unternehmens Bkav haben ein neues Schadprogramm mit einem ungewöhnlichen Selbstschutzmechanismus entdeckt. Nachdem er in das System eingedrungen ist, erstellt der Schädling ein Abbild des Umkehrpunktes: Alle Modifikationen, die vom Anwender im Dateisystem erstellt wurden, werden registriert und beim Neustart rückgängig gemacht, indem die Festplatte in den Zustand im Moment der Infektion zurückversetzt wird. Das bedeutet, dass alle im Laufe der Sitzung vorgenommenen Veränderungen – neue Dokumente, geladene Programme und Daten, Korrekturen, Kopien ― nach dem Neustart verloren sind und das Schadprogramm wiederbelebt wird, selbst wenn es gerade gelöscht wurde.

Nach Angaben von Bkav wird beim Start des neuen Schädlings (die Verhaltensanalyser von Kaspersky Lab detektieren ihn als PDM:Trojan.Win32.Staser.a) das Icon der Festplatte ausgetauscht und andere ausführbare Module werden erstellt:

  • Wininite.exe zum Empfang von Befehlen von zwei C&C-Servern, von denen sich einer in China, der andere in den USA befindet;
  • DiskFit.sys — ein Treiber, der für die Wiederherstellung des vorherigen HDD-Status verantwortlich ist;
  • PassThru.sys — ein Netztreiber zum Blockieren des Zugriffs auf voreingestellte Websites und zum Umleiten;
  • Black.dll zur Verbreitung der Bedrohung.

Für den Rollback erstellt DiskFit ein virtuelles Gerät zur Kontrolle des Lesens/Schreibens von Daten und zur Kontrolle des Cache auf der Festplatte. Wenn der Anwender eine Lese-/Schreibeoperation initiiert, kopiert DiskFit die angefragten Daten in den Cache und gewährleistet eine Umleitung. Als Folge ist es dem Nutzer nicht mehr möglich, irgendwelche Veränderungen im Dateisystem vorzunehmen.

(Quelle: Bkav)

„Diesen Virus kann man als Rootkit betrachten, obgleich sein Selbstschutzmechanismus äußerst ungewöhnlich ist.“, fassen die Experten zusammen. „Anstatt die feindliche Aktivität gegen seine Module zu bekämpfen, wie es ein gewöhnliches Rootkit tun würden, erhält dieser Schädling die gesamte Festplatte in unverändertem Zustand.“ Zur Desinfektion der neuen Bedrohung hat Bkav ein kostenloses Tool veröffentlicht.

Quelle: Softpedia

„Einfrieren“ der Festplatte als Selbstschutz

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach