Jump to content

Wie kann die neue "Terminator Malware" Anti Viren Programme schließen??


Go to solution Solved by Schulte,

Recommended Posts

Posted (edited)

Bin ich als Privatanwender davon betroffen?

Sucht Kaspersky nach dem "Terminator . sys / zamuguard64 . sys / zam64 .sys" in C:\WINDOWS\system32\drivers\ nach der neuen Malware?

Also als Frage an die Community

Edited by Leander
2 Dateipfade vergessen
  • Solution
Posted

Hi @Leander,

soweit ich das beurteilen kann, handelt es sich bei den von Dir genannten Treibern nicht um Malware, sondern um legitime, signierte Treiber.
Das Problem ist, dass diese von der eigentlichen Malware installiert und dann für ihre eigenen Zwecken missbraucht werden.

Mit einer reinen Erkennung der Dateien ist es also nicht getan, es könnte sich dann auch um einen FP handeln.

Wichtig ist hier, die eigentliche Malware zu finden. Die Programmkontrolle sollte erkennen, wenn ein nicht oder wenig vertrauenswürdiges Programm einen Treiber missbraucht und den Zugriff sperren (Vererbung der Rechte).
Ob weitere Maßnahmen eingepflegt wurden, ist mir derzeit nicht bekannt. Aber den vielgelobten Selbstschutz gibt es ja auch noch...

  • Like 1
  • Thanks 1
Posted
Am 27.6.2023 um 15:55 schrieb Schulte:

Hi @Leander,

soweit ich das beurteilen kann, handelt es sich bei den von Dir genannten Treibern nicht um Malware, sondern um legitime, signierte Treiber.
Das Problem ist, dass diese von der eigentlichen Malware installiert und dann für ihre eigenen Zwecken missbraucht werden.

Mit einer reinen Erkennung der Dateien ist es also nicht getan, es könnte sich dann auch um einen FP handeln.

Wichtig ist hier, die eigentliche Malware zu finden. Die Programmkontrolle sollte erkennen, wenn ein nicht oder wenig vertrauenswürdiges Programm einen Treiber missbraucht und den Zugriff sperren (Vererbung der Rechte).
Ob weitere Maßnahmen eingepflegt wurden, ist mir derzeit nicht bekannt. Aber den vielgelobten Selbstschutz gibt es ja auch noch...

Hey vielen Dank ich bin von einem "Schritt" ausgegangen, nicht von Treiber als backdoor... Ich war wegen dem Speicherpfad und der Ausführung besorgt. Aber den Selbstschutz habe ich dabei vergessen.

Nochmals Danke für deine Zeit und Erklärung!!

  • Like 1
Posted

Hi @Leander,

noch ein paar Zusatzinformationen (bisher unbestätigt):

zur Installation des fraglichen Treibers werden Adminrechte benötigt und die Windows-Sicherheitsabfrage muss abgenickt werden.
Ein Angreifer müsste also entweder an Deinem Rechner sitzen oder per Remote verbunden sein. Und das, wie gesagt, als Admin.
Die Malware, die dann den Treiber missbraucht, muss ebenfalls mit Adminrechten gestartet werden.

Der "Entdecker" dieser "Lücke" verkauft sie für 500-3000$ an Interessenten.
Solange nichts anderes bekannt wird, halte ich das Ganze für Panikmache, die jede Menge YT-Klicks generieren soll. Eine echte Lücke wäre sicher teurer. Und wenn man schon mit Adminrechten auf einem fremden System unterwegs ist, gibt es noch ganz andere (und nicht so auffällige) Werkzeuge...

  • Like 2
Posted
vor 17 Stunden schrieb Schulte:

Hi @Leander,

noch ein paar Zusatzinformationen (bisher unbestätigt):

zur Installation des fraglichen Treibers werden Adminrechte benötigt und die Windows-Sicherheitsabfrage muss abgenickt werden.
Ein Angreifer müsste also entweder an Deinem Rechner sitzen oder per Remote verbunden sein. Und das, wie gesagt, als Admin.
Die Malware, die dann den Treiber missbraucht, muss ebenfalls mit Adminrechten gestartet werden.

Der "Entdecker" dieser "Lücke" verkauft sie für 500-3000$ an Interessenten.
Solange nichts anderes bekannt wird, halte ich das Ganze für Panikmache, die jede Menge YT-Klicks generieren soll. Eine echte Lücke wäre sicher teurer. Und wenn man schon mit Adminrechten auf einem fremden System unterwegs ist, gibt es noch ganz andere (und nicht so auffällige) Werkzeuge...

Uff dann bin ich da voll auf die Panikmache reingefallen. Ich habe nur gelesen kann AVP schließen und Malware instalieren und da habe ich mich direkt ans Forum gewendet... Thx Schulte ?

Posted

Hi @Leander,

das ist nur meine persönliche Einschätzung, es bedeutet noch keine Entwarnung.

Jedenfalls beschäftigen sich inzwischen die Entwickler mit dem Thema, nur sie können eine belastbare Aussage machen.
Sobald was kommt, werden wir es hier posten.

  • Like 1
Posted

Update:

Die Missbrauchsmöglichkeit bzw die Verwundbarkeit des Treibers ist seit längerem bekannt. Seit Anfang Juni werden die durch ihn ausgeführten Aktionen durch KL-AVs blockiert.
Er wird nicht selbst als Malware erkannt, es handelt sich um einen legitimen Treiber, nur eben mit einem Fehler (soll es auch bei Windows einige geben?).

Der Quellcode des (Demo)programms, das die Lücke nutzt, ist inzwischen öffentlich einsehbar.
Es ist als "Proof of Concept" zu betrachten und beinhaltet keine weitere Schadsoftware (das werden andere Autoren sicher umbauen).

KL-Programme sind durch das Blockieren des missbrauchten Treibers geschützt und lassen sich so nicht deaktivieren. Andere AV-Programme werden sicher vergleichbare Schritte unternommen haben.
Bleibt noch der verwundbare Treiber. Den sollte Zemana schnellstmöglich aus dem Verkehr ziehen.

Nachtrag:

@Yury Parshin hat gerade noch einen passenden Screenshot gepostet:
 

Spoiler

https://forum.kaspersky.com/uploads/monthly_2023_07/image.png.caedadd6c2261942a417dd97ff43cfce.png

 

  • Like 1
  • Thanks 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...