BlackBoard | Druckvorschau: Neue Autostartmethode

BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Neue Autostartmethode (http://www.black-board.net/thread.php?threadid=7985)

Geschrieben von fmann am 21.10.2002 um 09:40:

Neue Autostartmethode

Was man noch so alles lernen kann. Schöner Artikel von Network-Secure :

"Offenbar ist es einem Teilnehmer unseres Forums gelungen, eine neue bzw. zur Zeit noch sehr unbekannte Methode zum Autostart von Schädlingen zu entdecken, die von zur Zeit einem bekannten Trojaner benutzt wird. Die Entdeckung besitzt eine gewisse Brisanz, weil mit dieser Methode unbemerkt Autostarts von jeglichen ausführbaren Dateien ausgeführt werden können. Inwieweit auch DLLs davon betroffen sind, wird zur Zeit noch ermittelt. Wir halten die Methode aber für brisant genug, um die Netzgemeinde darüber zu informieren.

Trojaner und BackDoors benutzen eine besondere Art und Weise für ihre destruktiven Funktionen, da es sich um eigenständig auführbare Programme handelt, die bei jedem Systemstart mitgeladen werden müssen. Bekannte Autostart-Methoden sind zum Beispiel folgende, die auch von Virenscannern und Trojaner-Jägern berücksichtigt werden:

Einträge in der Windows-Registry unter:

HKEY_CLASSES_ROOT\exefile\shell\open\command

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce

HKEY_CurrentUser/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CurrentUser/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CurrentUser/Software/Microsoft/Windows/CurrentVersion/RunOnce

Sowie in den Initialisierungsdateien WIN.INI, SYSTEM.INI, winstart.bat oder dosstart.bat, um nur einige zu nennen.

Die neue bzw. unbekannte Methode trägt eine schädliche Datei in folgendem Registry-Schlüssel zum Beispiel derart ein:

HKEY_USERS\S-1-5-21-861567501-1343024091-2132354227-1002\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer\Run
"0"="C:WINDOWSserver.exe"

Update
Die ID "S-1-5-21-861567501-1343024091-2132354227-1002" ist variabel und verändert sich vermutlich je nach gesetzter Einstellung. Es macht also Sinn, im Schlüssel "HKEY_USERS" direkt nach "Policies\Explorer\Run" zu suchen und dort die Werte zu kontrollieren.

Der Eintrag bewirkt einen unbemerkten Start von Dateien beim Systemstart oder bei der Neuanmeldung eines Benutzer-Accounts.

Sie sollten also bei Verdacht auf Schädlingsbefall diesen Registry-Schlüssel in jedem Fall kontrollieren. Ist ein solcher oder ähnlicher Eintrag vorhanden, beenden Sie den dazugehörigen Prozess zum Beispiel mit Hilfe eines Prozess-Explorers, löschen die Datei und entfernen den Registry-Schlüssel.

Wir leiten direkt in der kommenden Woche Gespräche mit Antiviren-Herstellern ein und informieren Sie bei Neuigkeiten."