Schnell, leise und zuverlässig
Dienstag, 17. Dezember 2019
Fangen wir mit einem kleinen Trick an. Höchstwahrscheinlich sind Sie mit den Abfragen des Betriebssystems, mit welcher App Sie bestimmte Dateitypen ausführen sollen, vertraut. Assoziationen sind eine praktische Sache: Apps können spontan und sogar abhängig von bestimmten Bedingungen geändert werden. Aber Hacker können das Gleiche tun!
Das Registry des Betriebssystems Windows enthält den Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
. Er ermöglicht die Zuordnung von Debuggern zu Programmen, die beim Programmstart automatisch gestartet werden. Wenn Sie beispielsweise den Schlüssel HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ххх.exe
im Windows-Registry erstellen und darin einen Zeichenkettenparameter mit dem Wert "Debugger"="C:\yyy.exe"
, wird beim Ausführen der Datei xxx.exe
die Datei yyy.exe
gestartet. Und yyy.exe
wird xxx.exe
ausführen, nachdem diese ihren Task erfüllt hat.
Möchten Sie nun einen Taschenrechner statt eines Task-Managers starten?
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
schreiben wir den Parameter Debugger (REG_SZ
) mit dem Wert "C:\Windows\System32\calc.exe
" ein.
Es ist genau das, was Malware tut. Eine Schnellsuche liefert ein Beispiel:
Für den Autostart und die Verteilung werden folgende Registry-Schlüssel modifiziert:
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Defender.exe] 'debugger' = 'fixmapi.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt.exe] 'debugger' = 'fixmapi.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hostdl.exe] 'debugger' = 'fixmapi.exe'
[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt] 'debugger' = 'fixmapi.exe'
Wir können es auch anders machen:
Zunächst starten wir das System neu und drücken fünfmal die SHIFT-Taste auf dem Windows-Anmeldebildschirm, was zum Starten des Befehlszeilenfensters führt, welches durch das Programm sethc.exe ersetzt wurde. Der Haken dabei ist, dass die Befehlszeile mit den SYSTEM-Rechten gestartet wird, sodass wir vollen Zugriff auf den Computer erhalten und alles ausführen können – sogar die Explorer-Shell!
„Die komplette Wahrheit über Viren & Co.“ empfiehlt
Natürlich kann eine bösartige App eine solche Aktion nur durchführen, wenn die Virenschutzsoftware deaktiviert ist. Wie Sie sehen können, dauert es nicht allzu lange, um Änderungen am System vorzunehmen. Malware kann dies auch dann tun, wenn Sie das Antivirusprogramm nur für ein paar Sekunden deaktiviert haben. Deshalb lohnt es sich nicht, das Antivirusprogramm zu deaktivieren – sei es nur, um den Systemstart zu beschleunigen!
Ihre Meinung ist uns wichtig
Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.
Kommentare der Teilnehmer
EvgenyZ
22:18:35 2019-12-17
Toma
19:16:55 2019-12-17
razgen
18:25:13 2019-12-17
ka_s
18:15:10 2019-12-17
Masha
14:54:37 2019-12-17
Татьяна
12:49:15 2019-12-17
Dmur
11:00:35 2019-12-17
Неуёмный Обыватель
08:52:08 2019-12-17
Пaвeл
07:39:30 2019-12-17