54400

Malware hebelt Windows-Dateischutz aus

11.09.2006 | 14:16 Uhr |

Der Windows-Dateischutz soll System-Dateien davor schützen von anderen Programmen überschrieben zu werden. Wenn Malware diesen Schutz außer Gefecht setzt, können manipulierte Versionen von System-Dateien unbemerkt an die Stelle der Originale gesetzt werden. Die Avert Labs des Antivirus-Herstellers McAfee berichten über zwei Schädlinge, die sich dieser Methode bedienen.

Der Windows-Dateischutz (nicht zu verwechseln mit der Systemwiederherstellung) überwacht das Windows-Verzeichnis, dessen Unterverzeichnisse und die darin abgelegten System-Dateien. Wird eine als wichtig angesehene Datei zum Beispiel durch das Installationsprogramm einer Anwendungen ersetzt, stellt Windows die Originaldatei bei nächsten Start von Windows wieder her. Windows speichert Kopien der Originaldateien in dem versteckten Verzeichnis "dll_cache".

Virenforscher Vinoo Thomas nennt im Blog der Avert Labs die Schädlingsfamilien "PWS/Satiloler" (http://vil.nai.com/vil/content/v_140541.htm) und "Sdbot", deren neuere Mitglieder die Dateien "sfc.dll" und "sfc_os.dll" verändern. Dadurch wird der Dateischutz außer Gefecht gesetzt und die Schädlinge können beliebige andere Programme an die Stelle von System-Dateien setzen.

So können Trojanische Pferde wie etwa Keylogger, Backdoors oder Bots installiert werden, ohne dass Windows eingreifen kann. Diese Manipulationen sind jedoch nur mit Administrator-Rechten möglich. Auch deshalb sollten Sie sich für die normale Arbeit am PC, insbesondere bei der Internet-Nutzung, stets mit einem Benutzerkonto mit eingeschränkten Rechten anmelden.

Es ist zu erwarten, dass in naher Zukunft auch weitere Malware diese Taktik einsetzen wird.

0 Kommentare zu diesem Artikel
54400