Menü

Virus mit Firewall-Funktion

Von
vorlesen Drucken Kommentare lesen 477 Beiträge

Zu verhindern, dass ein einmal infizierter PC Updates und Informationen von AV-Herstellern aus dem Internet lädt, gehört schon fast zum Standardprogramm aktueller Schädlinge. F-Secure hat jetzt jedoch erstmals ein Exemplar entdeckt, das dies über richtige Firewall-Funktionen realisiert.

Normalerweise verhindern Viren die Verbindungen zu Update-Sites über Einträge in der hosts-Datei. Dort sorgt ein Eintrag wie beispielsweise

127.0.0.1 windowsupdate.microsoft.com

dafür, dass Verbindungsversuche mit der Windows-Update-Seite auf den lokalen Rechner umgeleitet werden, der sie nicht beantworten kann.

F-Secure hat bei der Analyse einer neuen Bagle-Variante festgestellt, dass dieser das Paketfilter-API von Windows nutzt, um Pakete an bestimmte Adressen auszufiltern. Auf der Liste der geblockten Sites finden sich wie üblich Adressen von Antiviren-Herstellern und diverse Microsoft-Server. Der von F-Secure als Fantibag.B bezeichnete Schädling realisiert dies über die Bibliothek firewall_anti.dll, die er im Windows-Verzeichnis ablegt und in den Adressraum des Internet Explorer einblendet (DLL-Injection).

Siehe dazu auch: (ju)

Anzeige
Anzeige