152094

Trojanische Pferde zerstören Windows

08.04.2009 | 15:22 Uhr |

Trojanische Pferde sollen nicht nur Anmeldedaten für das Online-Banking ausspionieren. Einige beschädigen das laufende Windows-System so stark, dass es nicht mehr startet. Einige Beispiele zeigen, wie Malware Windows zerstört.

Der größte Teil der zurzeit verbreiteten Schädlinge ist darauf aus Zugangsdaten für Online-Dienste auszuspionieren, vor allem für Banken- und Spiele-Websites. Einige dieser Trojanischen Pferde gehen jedoch weit darüber hinaus und beschädigen die Windows-Installation so nachhaltig, dass der Rechner Windows nicht mehr laden kann. Sollen diese Zerstörungen die Spuren der Täter verwischen?

Schädlinge der Familie "Nethell" (Alias: Ambler) reihen befallene Rechner in ein Botnet ein. Sie erhalten Kommandos vom Botmaster und kennen auch Aktionen, um Windows so zu beschädigen, dass es nach dem nächsten Neustart nicht mehr geladen werden kann. Auf den Befehl "KILLWIN" seines Herrn und Meisters entfernt Nethell die Dateiattribute "versteckt", "System" und "schreibgeschützt" von den Dateien C:\ntdetect.com und c:\ntldr. Anschließend löscht er beiden Dateien. Beim Befehl "KILLWINANDREBOOT" verfährt Nethell ebenso und versucht den PC danach neu zu starten.

Ohne die genannten Dateien schlägt das Laden von Windows fehl. Abhilfe schafft in einem solchen Fall das Starten des Rechners von der Windows-Installations-CD/-DVD. Mit den Reparaturoptionen des Installationsmediums können die beiden Dateien wieder her gestellt werden.

Einen anderen Weg schlagen einige Schädlinge aus der Familie "InfoStealer" ein. Sie versuchen alle Treiberdateien (*.sys) im Verzeichnis \Windows\system32\drivers zu löschen. Zunächst starten sie einen normalen Löschversuch. Schlägt der fehl, werden die Dateien zum Löschen beim nächsten Neustart vorgemerkt. Dafür nutzt InfoStealer die gleichen Routinen, die auch Windows einsetzt, um aktive Treiber bei einem Neustart zu ersetzen.

Außerdem löscht InfoStealer einige Registry-Schlüssel, die nötig sind, um eine Benutzeranmeldung zu starten und die grafische Oberfläche von Windows zu laden. Eine Reparatur des beschädigten Systems dürfte, wenn überhaupt, nur mit erheblichem Aufwand klappen. Eine Neuinstallation ist hier die effektivere Lösung.

Die aggressivste Methode finden wir jedoch bei "Zeus" (oder auch "Zbot"). Der Schädling löscht gleich ganze Zweige der Registry, darunter "HKEY_LOCAL_MACHINE\system". Außerdem überschreibt er den virtuellen Speicher von Windows mit Null-Bytes. Das führt zum berüchtigten "blauen Bildschirm", dem BSOD (Blue Screen of Death). Das System steht - schwerer Ausnahmefehler. Eine Reparatur setzt eine aktuelle Sicherung der Registry voraus.

Doch warum machen die das? Wollen sie die Spuren des Datendiebstahls verwischen? Dafür wären diese Methoden nicht geeignet, denn alle Daten sind weiterhin vorhanden und können nach dem Starten des Rechners von einem geeigneten Boot-Medium ausgelesen werden. Wahrscheinlicher ist, dass solche Zerstörungsaktionen den Tätern Zeit verschaffen sollen.

Während das Opfer noch damit beschäftigt ist, dem Problem auf die Spur zu kommen und das System wieder zum Laufen zu bringen, können die Täter die ausspionierten Daten nutzen, um etwa das Bankkonto des Opfers zu plündern. Bis der Rechner wieder läuft und der eigentliche Schaden erkannt wird, ist es oft zu spät, um bei der Bank eine Kontosperrung zu beauftragen.

Wichtig ist folglich gar nicht erst in diese Lage zu geraten. Mit moderner Sicherheits-Software und regelmäßigen Backups sowie vorsichtigem Internet-Verhalten können Sie solche Situationen weitgehend vermeiden. Zum richtigen Internet-Verhalten gehört auch nicht auf alles zu klicken, was "Klick mich" ruft.

0 Kommentare zu diesem Artikel
152094