255763

Ein Schuss ins Knie - One-Shot Antivirus

12.03.2007 | 15:11 Uhr |

Ein vorgebliches Antivirus-Programm deaktivert diverse Windows-Funktionen wie den Start-Knopf und den Taskmanager. Es startet Windows regelmäßig neu und macht den Rechner praktisch unbenutzbar.

Sicherheitsprogramme, die nicht das leisten, was sie versprechen, gibt es viele. Ein Teil davon fällt in die Kategorie "rogue Software" (betrügerische Programme) und gehört zur berüchtigten WinFixer-Familie, zum Beispiel " ErrorSafe ". Der spanische Antivirus-Hersteller Panda Software berichtet über ein vorgebliches Antivirus-Programm namens "One-Shot Antivirus" - keine echte Konkurrenz, sondern ein Trojanisches Pferd. Es geht anscheinend auch nicht ums Geldverdienen wie bei anderen Scheinprogrammen.

Das von Panda als " Trj/ShotOne.A " bezeichnete One-Shot Antivirus ist gerade 378 KB groß und kommt mit einer seriös wirkenden Installationsroutine. Nach der Installation zeigt es in DOS-Fenstern verschiedene Meldungen über angeblich gefundene Malware an und startet das Windows-Spiel "Pinball". Es ruft diverse Web-Seiten im Internet Explorer und in Firefox auf.

Der Schädling deaktiviert verschienene Windows-Funktionen, zum Beispiel den Start-Knopf, die Schnellstartleiste, die Einträge "Ausführen" und "Suchen" im Startmenü, sowie die Kontextmenüs des Windows Explorers. Außerdem verhindert es den Start des Taskmanagers, des Registry-Editors, der Systemsteuerung und von Windows Update. Es zeigt regelmäßig eine Meldung, der Rechner werde nun neugestartet - was dann auch passiert.

Es trägt sich in die Registry ein, damit es bei jedem Windows-Start geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
msg = %windir%\msg.exe

Das Programm msg.exe startet das Pinball-Spiel. Eine Datei "autorun.inf" im Stammverzeichnis von Laufwerk C: (das ist in der Regel die Systempartition) startet eine Programmdatei "explorer.exe", die One-Shot im neu angelegten Verzeichnis "\Window" abgelegt hat. Diese wiederum legt eine Datei "svcchost.exe" in diesem Verzeichnis ab, die alle drei Stunden ausgeführt wird. Beide Dateien wie auch die autorun.inf finden sich außerdem auch im neuen Verzeichnis "Programme/One-Shot".

Die Forscher von Panda Labs haben ein Video bereit gestellt, das Installation und nachfolgendes Verhalten von Trj/ShotOne.A zeigt. Es ist auch über das Weblog der Virenforscher abrufbar. Das vorgebliche Antivirus-Programm verbreitet sich nicht selbsttätig weiter.

0 Kommentare zu diesem Artikel
255763