Trickbot-Trojaner lernt dazu und umgeht jetzt die UAC-Abfrage

Über einen Prozess, der eigentlich Windows 10-Nutzern helfen soll, Pro­gramme ohne Administratorrechte ausführen zu können, schafft der Trojaner Trickbot jetzt auch Sicherheitsfunktionen von Windows 10 zu umgehen. Der Trojaner lernt dabei immer weiter ... mehr... Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Bildquelle: / Flickr Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd Sicherheitslücke, Malware, Trojaner, Trojanisches Pferd / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Noch schnell auf das sichere Windows 10 wechseln.
Windows 7 ist ja jetzt voll unsicher - äh wait ...
 
@Souldancr: Nur zu dumm, dass Windows 7 ebenfalls über eine andere Möglichkeit verfügt. Und da wird nicht mehr dran gearbeitet. Bei Windows 10 wird sich Microsoft etwas einfallen lassen, um das Problem zu beheben.
 
@Hanni&Nanni: Ist ja nicht so, das Windows 7 nicht mehr gepflegt werden kann.
Microsoft will es nicht. Jedenfalls nicht für Privatanwender. Das ist ein Unterschied.
Gegen Bezahlung gibt es ja noch Support. Es geht also, wenn man wollte.
 
@Souldancr: nach 10 Jahren kann man schon mal gerne für den Privatanwender den Support auslaufen lassen. Zumal es auch schon dazwischen Windows 8 und 8.1 gab und das Update auf Windows 10 nichts kostet.
 
@sav: 1. Neu ist nicht immer besser.
2. Dont touch a running System.
 
@Souldancr: Wechsel mit der Einstellung doch bitte zu Debian Stable.
 
@UltraPower31: Danke ja, das wäre schlau.
Aber da bin ich leider zu doof dafür.
Trotzdem Daumen hoch : )
 
@Souldancr: Dann dürftest Du überhaupt keine Updates einpflegen! Denn: Never touch a running system!
 
@ Hanni&Nanni: Das ist korrekt!
Soviel ich weiss, können Win10 Updates Dir einfach neue Treiber installieren.
Aber da haben Wir nun keine Wahl mehr.
 
@Souldancr: Doch, haben wir! Das geht von Beginn an über die Gruppenrichtlinien und seit 1909 zählen Treiberupdates wohl zu den optionalen Updates.
 
@Hanni&Nanni: Oh, Danke für den Hinweis.
Das ist ja auch sinnvoll so zu handhaben.
 
@Souldancr: Sehe ich auch so. Der Soundtreiber, den mir Windows Update immer drüber gebügelt hat, dem fehlte nämlich die Funktion "Sound-Mix" als Aufnahmegerät zu wählen. Der Treiber direkt vom Hersteller bietet jedoch genau diese Funktion an.

Daher mein Interesse, die Treiberupdates von Microsoft zu blockieren. :-)
 
@Hanni&Nanni: Hey, habe gerade mal geschaut, ob ich diese Gruppenrichtlinien finde. Aber Google sagt, das gibt es nicht mit Win10 Home : (
Wenn Du noch nen Tipp hast die Treiberupdates abzuschalten ?
 
@Souldancr:

Folgendes in eine .reg Datei einfügen & ausführen; oder manuell einschreiben im Registry Editor:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ExcludeWUDriversInQualityUpdate"=dword:00000001
 
@Tom 1: Hi Tom, Danke. Hab den Eintrag gefunden und der Wert stand schon auf 0x00000001 - Habe da ne 0 eingetragen, für Nein. Ist das richtig ?
Jetzt steht der Wert auf 0x00000000 ok ?
 
@Souldancr: Oh, dann hat bestimmt ein Programm das für dich gemacht, oder du hast das in der Vergangenheit gemacht (kann mir nicht vorstellen, dass Windows selbst den Registry Wert machen würde)

Also nein, das war schon richtig, der muss auf 1 sein...
 
@Tom 1: Alles klar - Danke Dir
 
@Souldancr: Sorry, war ne Zeit lang draußen im Garten am arbeiten. Aber der Lösungsweg kam ja dann schon von Tom 1.
 
@Souldancr: Der normale Anwender, der hier mit dem Support-Ende konfrontiert wird und keine Updates mehr erhält ist aber wohl eher das Opfer dieser Lücke. Und das die Lücke bei Windows 7 existiert, allerdings mit anderem Hintergrund, ist im Artikel ja wohl vermerkt. Denn wie sollte der normale Anwender an die nötigen Updates kommen? Aus dubioser Quelle vielleicht? Dann braucht man das Update auch nicht mehr einpflegen. Ob nun Hacker so oder so auf die Kiste kommen, spielt keine Rolle.
 
@Souldancr: Das ist aber klar. Natürlich könnte MS Windows 7 pflegen, wenn sie wollten.

Tatsächlich wollen sie aber ihr neustes OS pushen und natürlich die Produkte, die sie ungefragt damit bündeln, dementsprechend wollen sie Windows 7 natürlich nicht pflegen. Diese Situation wirst du übrigens immer wieder haben, solange due bei proprietärer Software bleibst, die grundsätzlich rein nach den Interessen des Herstellers gewartet oder eben obsolet gemacht wird.
 
@dpazra: warum soll microsoft kosten und manpower in ein altes system investieren? versteh eure logik nicht. es ist ja nicht so, dass sie windows 7 genommen haben und ne 10 rangepappt und dann alten wein in neuen schlaeuchen verkauft haben. alles was ihr mitkriegt sind die aenderungen an der oberflaeche, aber dass sich unter der haube auch ne menge aendert vergesst ihr wohl. daher kann ein altes betriebssystem wie windows 7 schon gerne mal zu grabe getragen werden. btw, welch andere software habt ihr so auf eurem rechner die 10+ jahre alte ist und vom hersteller supportet wird?
 
@laforma: Es geht mir überhaupt nicht darum Windows 7 zu verteidigen, ich benutze weder Windows 7 noch Windows 10. Es geht darum, an diesem Beispiel aufzuzeigen, dass proprietäre Software bedeutet: Friss oder stirb. Auch wenn genügend Leute bereit wären, ihren Beitrag zum Support von Windows 7 zu leisten, könnten sie es nicht weiterbenutzen weil aller Code und alle Rechte bei Microsoft liegen und Microsoft strategische Gründe dafür hat, Windows 10 zu pushen.

In dem Zusammenhang kann ich auch deine letzte Frage beantworten: Natürlich gibt es >10 Jahre alte Software, die weiterhin supportet wird obwohl die ursprünglichen Entwickler in eine andere Richtung gehen wollen. Bei freier Software ist das nämlich kein Problem, die Fälle sind sogar ziemlich gut vergleichbar: Die bliebteste Deskopumgebung unter GNU/Linux war seit langer Zeit GNOME. Mit Gnome 3 (2011) gab es viele größere Designänderungen, an denen sich Leute gestört haben. Genügend Leute, dass sich eine Gruppe fand, die GNOME 2 unter dem Namen "MATE" weitersupportet.

Heute kann sich jeder in der Welt der freien Software aussuchen ob er gerne den Stil von GNOME 3 oder GNOME 2 haben möchte, ohne dass er ungewartete Software verwenden müsste. In der proprietären Welt senkt Microsoft den Daumen und die Windows User müssen zu Windows 10 wechseln oder sie können kein gewartetes Windows mehr verwenden.
 
@Hanni&Nanni: Trickbot-Trojaner hat weniger was mit Win 7 zu tun.
 
@Mitglied1: Ach nicht? Lies den Artikel noch mal...

Moment, ich kopiere dir ein Zitat hier rein:

Trickbot ist im Übrigen darauf programmiert, zunächst zu prüfen, auf welchem OS er sich befindet, um dann einen entsprechend funktionierenden Bypass zu starten. Neben dem Fodhelper-Bypass für Windows 10 ist so noch der "CMSTPLUA"-Bypass für Windows 7 bekannt. Beide Umgehungen sind dabei jahrelang bekannt.
 
@Hanni&Nanni: Es geht doch hier um Fodhelper-Bypass ? hier auf der Seite
gibt es 2 Programme die dich davor schützen. Und ja Trojaner gibt es ohne ende bei Windows
 
@Mitglied1: Nein, es geht um den Trickbot-Trojaner! Und eben der nutzt bei Windows 10 den Fodhelper-Bypass und bei Windows 7 eben den CMSTPLUA-Bypass.

Der Trojaner, um den es hier geht, umgeht die UAC von Windows 7 wie Windows 10, allerdings über zwei verschiedene Möglichkeiten. Und genau darum geht es hier! Und um nichts anderes. Und darum, dass der Bypass in Windows 7 wegen des Support-Endes definitiv nicht mehr gepatcht werden wird!

Nun begriffen?
 
Die Hardcore-Fans sind jetzt wohl nicht sehr begeistert
 
Seit Jahren bekannt? Und dann noch nicht gepatcht?!

Ergänzung: Ich rede davon, ob MS einen Patch bereitstellt - sollte klar sein.
 
Und kann man diese Fodhelper.exe irgendwie sperren, damit diese Malware diesen Pfad nicht nutzen kann?
 
@DHAmoKK: Generell sperren kannst du jede Datei(GPO). Ist nur die Frage, was dann alles nicht mehr funktioniert.
 
Was der Artikel leider verschweigt: Damit der Trick funktioniert muss der Benutzer in der Gruppe Administratoren sein.

Dadurch sind viele Sicherheitsmechanismen natürlich ausgehebelt.
 
@_Night_hawk_: Wenn ich also ein extra Administrator-Konto habe, aber über ein normales Nutzerkonto arbeite, hat der Trojaner also keine Handhabe?

Das wäre ja relativ einfach umzusetzen.
 
@Hanni&Nanni: so hab ich es zumindest verstanden. Wenn du als Benutzer keine Admin Rechte hast, kann das Ding auch nichts machen. Lediglich wenn du schon Admin bist, kann es quasi die OK-Bestätigung mit Admin Rechten gestartet zu werden umgehen und sich mit Admin Rechten selber starten.
 
@sav: Wenn dem so ist, bin ich auch auf der sicheren Seite. Ich muss das Admin-Passwort nämlich eingeben und arbeite nur mit einem normalen Nutzerkonto.

Edit: Das ist etwas missverständlich ausgedrückt. Also wenn ich am System arbeite, muss ich das Admin-Passwort eingeben. Im Normalfall arbeite ich nur mit einem normalen Nutzerkonto.
 
@Hanni&Nanni: so einfach ist wirklich :D

getrennte Konten für Admin Sachen und eingschränktes zum arbeiten.

Ur alter geheimer Insider Trick den aber nur die wenigsten privat beherzigen.

Realität auf Privatrechnern ist, das die meisten Konten mit den gearbeitet wird Mitglied in der Admin Gruppe mit entsprechenden Rechten ist und das man sich auf die UAC verlässt.
 
@ibecf: wird halt heutzutage auch von heise so verbreitet als ob man sich den Aufwand der zwei Konten sparen kann: https://www.heise.de/select/ct/2018/11/1526772089126069 ich behalt es trotzdem bei:)
 
@ibecf: nur das dir das auch nicht wirklich nützt, den es gibt schon genug Malware die überhaupt keine Adminrechte brauchen um zu wirken.

Die UAC hält den Bodensatz draußen, die man mit Brain2.0 aber auch so draußen hält, die wirklich harten Geschütze pfeifen aber auf die UAC und sind die, auf die auch ein Profi mal reinfällt...

UAC war vor Jahren mal sinnvoll, heute aber längst überholt.
 
@_Night_hawk_: mmh ich wuerde mal sagen 99% der windows user sind administratoren. kenne keinen privatmenschen der sich noch einen zweiten account anlegt um dann damit zu arbeiten. also brauchen sie dort nichts verheimlichen.
Kommentar abgeben Netiquette beachten!
Einloggen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter