fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
Neue Autostartmethode |
|
Was man noch so alles lernen kann. Schöner Artikel von Network-Secure :
"Offenbar ist es einem Teilnehmer unseres Forums gelungen, eine neue bzw. zur Zeit noch sehr unbekannte Methode zum Autostart von Schädlingen zu entdecken, die von zur Zeit einem bekannten Trojaner benutzt wird. Die Entdeckung besitzt eine gewisse Brisanz, weil mit dieser Methode unbemerkt Autostarts von jeglichen ausführbaren Dateien ausgeführt werden können. Inwieweit auch DLLs davon betroffen sind, wird zur Zeit noch ermittelt. Wir halten die Methode aber für brisant genug, um die Netzgemeinde darüber zu informieren.
Trojaner und BackDoors benutzen eine besondere Art und Weise für ihre destruktiven Funktionen, da es sich um eigenständig auführbare Programme handelt, die bei jedem Systemstart mitgeladen werden müssen. Bekannte Autostart-Methoden sind zum Beispiel folgende, die auch von Virenscannern und Trojaner-Jägern berücksichtigt werden:
Einträge in der Windows-Registry unter:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CurrentUser/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CurrentUser/Software/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CurrentUser/Software/Microsoft/Windows/CurrentVersion/RunOnce
Sowie in den Initialisierungsdateien WIN.INI, SYSTEM.INI, winstart.bat oder dosstart.bat, um nur einige zu nennen.
Die neue bzw. unbekannte Methode trägt eine schädliche Datei in folgendem Registry-Schlüssel zum Beispiel derart ein:
HKEY_USERS\S-1-5-21-861567501-1343024091-2132354227-1002\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer\Run
"0"="C:WINDOWSserver.exe"
Update
Die ID "S-1-5-21-861567501-1343024091-2132354227-1002" ist variabel und verändert sich vermutlich je nach gesetzter Einstellung. Es macht also Sinn, im Schlüssel "HKEY_USERS" direkt nach "Policies\Explorer\Run" zu suchen und dort die Werte zu kontrollieren.
Der Eintrag bewirkt einen unbemerkten Start von Dateien beim Systemstart oder bei der Neuanmeldung eines Benutzer-Accounts.
Sie sollten also bei Verdacht auf Schädlingsbefall diesen Registry-Schlüssel in jedem Fall kontrollieren. Ist ein solcher oder ähnlicher Eintrag vorhanden, beenden Sie den dazugehörigen Prozess zum Beispiel mit Hilfe eines Prozess-Explorers, löschen die Datei und entfernen den Registry-Schlüssel.
Wir leiten direkt in der kommenden Woche Gespräche mit Antiviren-Herstellern ein und informieren Sie bei Neuigkeiten."
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|