Der Mörder war eine Batch

Von einem Bekannten habe ich kürzlich ein Notebook, mit den Worten "Das Ding hat sich wohl so ein Virus eingefangen. Kannst Du mal einen Blick darauf werfen?" in die Hand gedrückt bekommen. Da sich in solchen Situationen immer wieder die Möglichkeit bietet, eventuell eine aktuelle Generation Viren in Aktion zu sehen, stimmte ich zu. Versteht mich an dieser Stelle nicht falsch, mir würde eine Infektion meines Rechners ebenfalls gewaltig auf den Sa... die Nerven gehen, aber auf der anderen Seite müssen Virenschreiber heutzutage teilweise sehr einfallsreich sein, wenn sie gängige Sicherheitssysteme aushebeln wollen.

Nach etwa 5 Minuten "suchen", habe ich ein eher enttäuschendes "Standard"-Exemplar einer Ransomware (nein, nicht den "Polizei-Trojaner") gefunden. Ein trotzdem überraschendes Element war der "Anti-Viren-Killer", der in Form eine Batch-Datei vorlag. Dieser "Killer" funktionierte zwar nur dann, wenn ausschließlich die "Boardmittel" von Microsoft installiert waren, aber das traf und trifft auf sehr viele Rechner zu. Ich kann den Inhalt dieser Datei hier natürlich nicht 1:1 wiedergeben, aber sinngemäß hat sie folgendes gemacht:
Stoppen von "Windows Defender"
Stoppen von "Microsoft Security Essentials"
Stoppen von "Windows Update"
Stoppen von "Windows Secure Center Service"
Ein guter Anfang, ab jetzt sind die Schutzmaßnahmen inaktiv. Warum "Update" und "Secure Center" auch deaktiviert werden? Nun, vom "Secure Center" kommen die Warnungen (siehe weiter unten) und von "Update" eventuelle Sicherheitspatches oder Anti-Virus-Updates. Zeit, diese Bedrohung permanent zu beseitigen:
Deaktivieren von "Windows Defender" in der Servicekonfiguration
Deaktivieren von "Microsoft Security Essentials" in der Servicekonfiguration
Deaktivieren von "Windows Update" in der Servicekonfiguration
Deaktivieren von "Windows Secure Center Service" in der Servicekonfiguration

Löschen von "Windows Defender" aus der Autostartkonfiguration
Löschen von "Microsoft Security Essentials" aus der Autostartkonfiguration
Einfach gesagt: Wenn der Benutzer jetzt seinen Computer neu startet, werden diese Dienste nicht mehr automatisch mit gestartet. Das System ist (fast) wehrlos. Jetzt wird "Security Essentials" vor den Augen des Betriebssystems um die Ecke gebracht:
Entfernen der Installationsschlüssel von "Microsoft Security Essentials"
Boah, fies. Nein, das Programm wird nicht wirklich deinstalliert, es verbleibt ganz normal auf der Festplatte. Das Betriebssystem ist einfach nur der Ansicht, der Schutz sei nicht installiert. Jetzt darf bloß der User nichts davon mitkriegen:
Deaktivieren der Warnung "Keine Antivirensoftware installiert" im Wartungscenter
Deaktivieren der Warnung "Keine Firewall installiert" im Wartungscenter
Deaktivieren der Warnung "Windows Updates sind deaktiviert" im Wartungscenter
Nachdem jetzt die Schutzmaßnahmen permanent aus dem Weg geräumt sind, kann das eigentliche Virus aktiviert werden. Am Besten, bei jedem Neustart des Systems:
Eintragen der ausführbaren Virusdatei in die Autostartkonfiguration
Das Ganze in gerade mal 28 Zeilen "Code". Okay, mit der Benutzerkontensteuerung aktiviert gibt es bei der Ausführung eine Warnung, aber ein Großteil der Benutzer überliest das im Normalfall und/oder klickt genervt auf "Ignorieren", "Ausführen" oder "Ja".
18.09.2013 - 23:28

Kommentare

Ich
19.09.2013, 17:29
Download? Das wäre manchmal ganz praktisch und hätte einen festen Platz auf meinem USB Stick.
KIENI
19.09.2013, 21:37
Was downloaden? Den Artikel oder die Batch? Letzteres steht leider nicht zur Diskussion, sorry.