Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Ungeladene Gäste

Незваные гости

Andere Ausgaben dieser Rubrik (19)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Schnell, leise und zuverlässig

Gelesen: 1595 Kommentare: 9 Rating: 15

Dienstag, 17. Dezember 2019

Fangen wir mit einem kleinen Trick an. Höchstwahrscheinlich sind Sie mit den Abfragen des Betriebssystems, mit welcher App Sie bestimmte Dateitypen ausführen sollen, vertraut. Assoziationen sind eine praktische Sache: Apps können spontan und sogar abhängig von bestimmten Bedingungen geändert werden. Aber Hacker können das Gleiche tun!

Das Registry des Betriebssystems Windows enthält den Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Er ermöglicht die Zuordnung von Debuggern zu Programmen, die beim Programmstart automatisch gestartet werden. Wenn Sie beispielsweise den Schlüssel HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ххх.exe im Windows-Registry erstellen und darin einen Zeichenkettenparameter mit dem Wert "Debugger"="C:\yyy.exe", wird beim Ausführen der Datei xxx.exe die Datei yyy.exe gestartet. Und yyy.exe wird xxx.exe ausführen, nachdem diese ihren Task erfüllt hat.

Möchten Sie nun einen Taschenrechner statt eines Task-Managers starten?

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe schreiben wir den Parameter Debugger (REG_SZ) mit dem Wert "C:\Windows\System32\calc.exe" ein.

Es ist genau das, was Malware tut. Eine Schnellsuche liefert ein Beispiel:

Für den Autostart und die Verteilung werden folgende Registry-Schlüssel modifiziert:

  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Defender.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hostdl.exe] 'debugger' = 'fixmapi.exe'
  • [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winmgmnt] 'debugger' = 'fixmapi.exe'

Quelle

Wir können es auch anders machen:

Zunächst starten wir das System neu und drücken fünfmal die SHIFT-Taste auf dem Windows-Anmeldebildschirm, was zum Starten des Befehlszeilenfensters führt, welches durch das Programm sethc.exe ersetzt wurde. Der Haken dabei ist, dass die Befehlszeile mit den SYSTEM-Rechten gestartet wird, sodass wir vollen Zugriff auf den Computer erhalten und alles ausführen können – sogar die Explorer-Shell!

#drweb

Quelle

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Natürlich kann eine bösartige App eine solche Aktion nur durchführen, wenn die Virenschutzsoftware deaktiviert ist. Wie Sie sehen können, dauert es nicht allzu lange, um Änderungen am System vorzunehmen. Malware kann dies auch dann tun, wenn Sie das Antivirusprogramm nur für ein paar Sekunden deaktiviert haben. Deshalb lohnt es sich nicht, das Antivirusprogramm zu deaktivieren – sei es nur, um den Systemstart zu beschleunigen!

[Twitter]

Aufgrund von technischen Einschränkungen von VK und Facebook können wir keine Dr.Web Punkte vergeben.

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer