Leander Posted June 27, 2023 Share Posted June 27, 2023 (edited) Bin ich als Privatanwender davon betroffen? Sucht Kaspersky nach dem "Terminator . sys / zamuguard64 . sys / zam64 .sys" in C:\WINDOWS\system32\drivers\ nach der neuen Malware? Also als Frage an die Community Edited June 27, 2023 by Leander 2 Dateipfade vergessen Link to comment Share on other sites More sharing options...
Solution Schulte Posted June 27, 2023 Solution Share Posted June 27, 2023 Hi @Leander, soweit ich das beurteilen kann, handelt es sich bei den von Dir genannten Treibern nicht um Malware, sondern um legitime, signierte Treiber. Das Problem ist, dass diese von der eigentlichen Malware installiert und dann für ihre eigenen Zwecken missbraucht werden. Mit einer reinen Erkennung der Dateien ist es also nicht getan, es könnte sich dann auch um einen FP handeln. Wichtig ist hier, die eigentliche Malware zu finden. Die Programmkontrolle sollte erkennen, wenn ein nicht oder wenig vertrauenswürdiges Programm einen Treiber missbraucht und den Zugriff sperren (Vererbung der Rechte). Ob weitere Maßnahmen eingepflegt wurden, ist mir derzeit nicht bekannt. Aber den vielgelobten Selbstschutz gibt es ja auch noch... 1 1 Link to comment Share on other sites More sharing options...
Leander Posted June 29, 2023 Author Share Posted June 29, 2023 Am 27.6.2023 um 15:55 schrieb Schulte: Hi @Leander, soweit ich das beurteilen kann, handelt es sich bei den von Dir genannten Treibern nicht um Malware, sondern um legitime, signierte Treiber. Das Problem ist, dass diese von der eigentlichen Malware installiert und dann für ihre eigenen Zwecken missbraucht werden. Mit einer reinen Erkennung der Dateien ist es also nicht getan, es könnte sich dann auch um einen FP handeln. Wichtig ist hier, die eigentliche Malware zu finden. Die Programmkontrolle sollte erkennen, wenn ein nicht oder wenig vertrauenswürdiges Programm einen Treiber missbraucht und den Zugriff sperren (Vererbung der Rechte). Ob weitere Maßnahmen eingepflegt wurden, ist mir derzeit nicht bekannt. Aber den vielgelobten Selbstschutz gibt es ja auch noch... Hey vielen Dank ich bin von einem "Schritt" ausgegangen, nicht von Treiber als backdoor... Ich war wegen dem Speicherpfad und der Ausführung besorgt. Aber den Selbstschutz habe ich dabei vergessen. Nochmals Danke für deine Zeit und Erklärung!! 1 Link to comment Share on other sites More sharing options...
Schulte Posted June 29, 2023 Share Posted June 29, 2023 Hi @Leander, noch ein paar Zusatzinformationen (bisher unbestätigt): zur Installation des fraglichen Treibers werden Adminrechte benötigt und die Windows-Sicherheitsabfrage muss abgenickt werden. Ein Angreifer müsste also entweder an Deinem Rechner sitzen oder per Remote verbunden sein. Und das, wie gesagt, als Admin. Die Malware, die dann den Treiber missbraucht, muss ebenfalls mit Adminrechten gestartet werden. Der "Entdecker" dieser "Lücke" verkauft sie für 500-3000$ an Interessenten. Solange nichts anderes bekannt wird, halte ich das Ganze für Panikmache, die jede Menge YT-Klicks generieren soll. Eine echte Lücke wäre sicher teurer. Und wenn man schon mit Adminrechten auf einem fremden System unterwegs ist, gibt es noch ganz andere (und nicht so auffällige) Werkzeuge... 2 Link to comment Share on other sites More sharing options...
Leander Posted June 30, 2023 Author Share Posted June 30, 2023 vor 17 Stunden schrieb Schulte: Hi @Leander, noch ein paar Zusatzinformationen (bisher unbestätigt): zur Installation des fraglichen Treibers werden Adminrechte benötigt und die Windows-Sicherheitsabfrage muss abgenickt werden. Ein Angreifer müsste also entweder an Deinem Rechner sitzen oder per Remote verbunden sein. Und das, wie gesagt, als Admin. Die Malware, die dann den Treiber missbraucht, muss ebenfalls mit Adminrechten gestartet werden. Der "Entdecker" dieser "Lücke" verkauft sie für 500-3000$ an Interessenten. Solange nichts anderes bekannt wird, halte ich das Ganze für Panikmache, die jede Menge YT-Klicks generieren soll. Eine echte Lücke wäre sicher teurer. Und wenn man schon mit Adminrechten auf einem fremden System unterwegs ist, gibt es noch ganz andere (und nicht so auffällige) Werkzeuge... Uff dann bin ich da voll auf die Panikmache reingefallen. Ich habe nur gelesen kann AVP schließen und Malware instalieren und da habe ich mich direkt ans Forum gewendet... Thx Schulte ? Link to comment Share on other sites More sharing options...
Schulte Posted June 30, 2023 Share Posted June 30, 2023 Hi @Leander, das ist nur meine persönliche Einschätzung, es bedeutet noch keine Entwarnung. Jedenfalls beschäftigen sich inzwischen die Entwickler mit dem Thema, nur sie können eine belastbare Aussage machen. Sobald was kommt, werden wir es hier posten. 1 Link to comment Share on other sites More sharing options...
Schulte Posted July 1, 2023 Share Posted July 1, 2023 Update: Die Missbrauchsmöglichkeit bzw die Verwundbarkeit des Treibers ist seit längerem bekannt. Seit Anfang Juni werden die durch ihn ausgeführten Aktionen durch KL-AVs blockiert. Er wird nicht selbst als Malware erkannt, es handelt sich um einen legitimen Treiber, nur eben mit einem Fehler (soll es auch bei Windows einige geben?). Der Quellcode des (Demo)programms, das die Lücke nutzt, ist inzwischen öffentlich einsehbar. Es ist als "Proof of Concept" zu betrachten und beinhaltet keine weitere Schadsoftware (das werden andere Autoren sicher umbauen). KL-Programme sind durch das Blockieren des missbrauchten Treibers geschützt und lassen sich so nicht deaktivieren. Andere AV-Programme werden sicher vergleichbare Schritte unternommen haben. Bleibt noch der verwundbare Treiber. Den sollte Zemana schnellstmöglich aus dem Verkehr ziehen. Nachtrag: @Yury Parshin hat gerade noch einen passenden Screenshot gepostet: Spoiler 1 1 Link to comment Share on other sites More sharing options...
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now