Bilderrahmen-Malware kapert Programme

Ende letzten Jahres wurden auf den Speichermedien einiger digitaler Bilderrahmen verschiedener Anbieter Trojanische Pferde entdeckt. Bojan Zdrnja vom Internet Storm Center hat sich einen der Schädlinge etwas genauer ansehen. Dabei hat er entdeckt, dass dessen Programmierer einen alten Trick wieder hervor gekramt hat, der schon fast vergessen schien. Der Schädling legt eine große Zahl von Registry-Einträgen an, mit denen er sich als Debugger für installierte Programme einträgt.

Die Windows-Registry enthält einen Zweig namens "Image File Execution Options", der es erlaubt für jedes installierte Programm einen Debugger festzulegen. Dies ist für Software-Entwicklern gedacht, die damit ihre Programme testen. Der Effekt eines solchen Eintrags ist, dass statt des eigentlichen Programms ein anderes gestartet wird, nämlich der angegebene Debugger. Im Normalfall würde dieser dann das zu untersuchende Programm aufrufen.

Der nicht mit Namen genannte Schädling arbeitet sich durch diesen Registry-Zweig und legt entsprechende Debugger-Einträge für Antivirus- und andere Sicherheitsprogramme an, die er kennt. Windows startet dann den Schädling statt den Virenscanner, da es nicht überprüft, ob es sich wirklich um einen Debugger handelt.

Dieser Trick ist an sich lange bekannt, wurde jedoch schon seit geraumer Zeit nicht mehr bei frei herum laufender Malware beobachtet. Nicht nur Bojan Zdrnja vom ISC hofft, dass die Antivirus-Hersteller diesen Trick kennen und ihren Programmen auch wirksame Gegenmaßnahmen mitgegeben haben.