„Einfrieren“ der Festplatte als Selbstschutz

Die Experten des auf Netzsicherheit spezialisierten vietnamesischen Unternehmens Bkav haben ein neues Schadprogramm mit einem ungewöhnlichen Selbstschutzmechanismus entdeckt. Nachdem er in das System eingedrungen ist, erstellt der Schädling ein Abbild des Umkehrpunktes: Alle Modifikationen, die vom Anwender im Dateisystem erstellt wurden, werden registriert und beim Neustart rückgängig gemacht, indem die Festplatte in den Zustand im Moment der Infektion zurückversetzt wird. Das bedeutet, dass alle im Laufe der Sitzung vorgenommenen Veränderungen – neue Dokumente, geladene Programme und Daten, Korrekturen, Kopien ― nach dem Neustart verloren sind und das Schadprogramm wiederbelebt wird, selbst wenn es gerade gelöscht wurde.

Nach Angaben von Bkav wird beim Start des neuen Schädlings (die Verhaltensanalyser von Kaspersky Lab detektieren ihn als PDM:Trojan.Win32.Staser.a) das Icon der Festplatte ausgetauscht und andere ausführbare Module werden erstellt:

  • Wininite.exe zum Empfang von Befehlen von zwei C&C-Servern, von denen sich einer in China, der andere in den USA befindet;
  • DiskFit.sys — ein Treiber, der für die Wiederherstellung des vorherigen HDD-Status verantwortlich ist;
  • PassThru.sys — ein Netztreiber zum Blockieren des Zugriffs auf voreingestellte Websites und zum Umleiten;
  • Black.dll zur Verbreitung der Bedrohung.

Für den Rollback erstellt DiskFit ein virtuelles Gerät zur Kontrolle des Lesens/Schreibens von Daten und zur Kontrolle des Cache auf der Festplatte. Wenn der Anwender eine Lese-/Schreibeoperation initiiert, kopiert DiskFit die angefragten Daten in den Cache und gewährleistet eine Umleitung. Als Folge ist es dem Nutzer nicht mehr möglich, irgendwelche Veränderungen im Dateisystem vorzunehmen.

(Quelle: Bkav)

„Diesen Virus kann man als Rootkit betrachten, obgleich sein Selbstschutzmechanismus äußerst ungewöhnlich ist.“, fassen die Experten zusammen. „Anstatt die feindliche Aktivität gegen seine Module zu bekämpfen, wie es ein gewöhnliches Rootkit tun würden, erhält dieser Schädling die gesamte Festplatte in unverändertem Zustand.“ Zur Desinfektion der neuen Bedrohung hat Bkav ein kostenloses Tool veröffentlicht.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.