178102

Trojanisches Pferd nutzt neue Angriffstechnik

08.07.2010 | 16:17 Uhr |

Ein neuer Schädling benutzt eine bis dahin noch nicht beobachtete Angriffsmethode. Er gibt sich als eine Art virtuelle Tastatur aus, um seinen Code in Windows einzuschleusen und Antivirusprogramme auszuschalten.

In Windows stecken viele Komponenten, die den meisten Anwendern gar nicht bekannt sind. Manche davon lassen sich auch für Zwecke missbrauchen, für die sie nicht gedacht sind. Dazu zählt etwa die Funktion eines Windows Input Method Editor (IME). Ein IME kann nützlich sein oder sich als Trojanisches Pferd entpuppen.

Ein IME kann zum Beispiel dazu dienen Benutzern von Tastaturen mit westeuropäischem Zeichensatz die Eingabe asiatischer Zeichen zu ermöglichen. Sicherheitsforscher von Websense haben ein Trojanisches Pferd entdeckt, das sich gegenüber Windows als IME ausgibt. Der noch namenlose Schädling kommt zunächst als vorgebliches Update-Programm für Antivirus-Software ("update.exe") auf den Rechner.

Der Schädling legt eine Datei namens "winnea.ime" im System-Verzeichnis von Windows an. Dabei handelt es sich um eine DLL (Programmbibliothek) mit geänderter Dateiendung. Die Endung "ime" ist unter Windows mit dem "Global Input Method Editor" assoziiert. Der Schädling manipuliert die Registry, um das Benutzerprofil des angemeldeten Anwenders so verändern, dass die winnea.ime der standardmäßige IME wird.

Wird diese Programmbibliothek geladen, legt sie eine weitere Datei namens "pcij.sys" im gleichen Verzeichnis an und lädt diese als Treiber. Dann versucht der Schädling mit Hilfe dieses Treibers alle Prozesse zu beenden, die zu ihm bekannten Antivirusprogrammen gehören.

Was der Schädling dann anstellt, was also seine eigentliche Bestimmung ist, lassen die Websense-Forscher in ihrer Analyse offen. Er könnte zum Beispiel, da er den Virenscanner ausgeschaltet hat, beliebige Malware aus dem Internet nachladen, würde also als eine Art Türöffner dienen - ein klassisches Trojanisches Pferd.

0 Kommentare zu diesem Artikel
178102