Windows 8 Sicherheit gefährdet - Gefälschte Sicherheitssoftware im Umlauf

Nach der angreifbaren Flash Player Version im Internet Explorer 10 werden die Benutzer des neuen Betriebssystems, das in Kürze veröffentlicht werden soll, von einer gefälschten „Win 8 Systemsicherheit“ angelockt. Windows 8 ist noch nicht offiziell veröffentlicht worden. Aber diejenigen, die Windows 8 RTM (Produktionsveröffentlichung – Release to manufacturing) oder die 90-Tage Testversion von Windows 8 Enterprise testen, sind schon mehreren Sicherheitsrisiken ausgesetzt.

Betrüger haben die Gelegenheit am Schopfe gepackt und haben ein Sicherheitstool für Windows 8 beworben. Diese Software, die angeblich alle Sicherheitsprobleme auf Windows 8 löst, ist eigentlich ein Sample der am meisten ausgebreiteten, bösartigen Codeabschnitte, das zur online Verfolgung der User dient – eine gefälschte Sicherheitssoftware. Zum Zeitpunkt der Abfassung dieses Textes war der Hosting-Domain dieses gefälschten  Antivirenprogramms noch aktiv; das bedeutet, dass die Benutzer weiterhin für diesen Betrug anfällig sind.

 

Normalerweise werden gefälschte Sicherheitslösungen billig verkauft, aber „Win 8 Systemsicherheit“ wird für $99.90 verkauft, höchstwahrscheinlich um Verantwortung und Engagement vorzutäuschen. Dieses falsche Antivirenprogramm installiert einen Rootkit Treiber mit einem selbstsignierten Zertifikat (entweder für x32 oder für x64 Systeme) unter einem zufälligen Namen (aus zufällig generierten Zeichen) im Windows Treiber-Ordner, um das Betriebssystem zu überwachen und zu manipulieren. Falls notwendig kann dieser Rootkit Treiber, die Fake-Antiviren-Lösung reparieren oder legitime Antivirenprogramme, die die gefälschte Software entfernen könnten, behindern.

Man kann eine Infektion mit einer Fake-Antiviren-Lösung durch typische Symptome bemerken, so wird der Benutzer beispielsweise mit Falschmeldungen, laut denen das System nicht voll geschützt sei, bombardiert. Wenn das Opfer versucht, das Aktionsfenster aus der Systemsteuerung aufzurufen, öffnet die Malware automatisch das gefälschte Aktionsfenster mit  Falschmeldungen, die nicht in der Anwendung fest programmiert sind, sondern die aus dem Web heruntergeladene HTML-Dateien sind.

Außerdem hijackt „Win 8 Systemsicherheit“ den Browser – soweit wir das bemerkt haben beschädigt die gefälschte Antiviren-Lösung den Internet Explorer und Google Chrome – und es werden Falschmeldungen bezüglich der Sicherheit angezeigt, wenn der User das Web durchsucht oder wenn er Anwendungen öffnet. Darüber hinaus stürzen die verwendeten Anwendungen ab und es erscheint eine Fehlermeldung, gemäß welcher ein Virus das System angegriffen hat.

Die gefälschte Sicherheitssoftware erstellt auf dem Desktop und unter “%Startmenü %\Programme\Win 8 Systemsicherheit” eine Verknüpfung eines Ordners mit dem Namen  „Win 8 Systemsicherheit kaufen.lnk“, so wird das Opfer an die Online-Bestellungsseite oder an die Windows Registrierungsdatenbank mit Eingabeaufforderung weitergeleitet.

Diese gefälschte Antiviren-Lösung kursiert zurzeit, während die Sicherheitsexperten die User vor der umstrittenen Microsoft Entscheidung (der Einbettung der angreifbaren Flash Player Version in das Windows 8 Betriebssystem statt eines sicheren selbstständigen Drittanbieter-Plugins) wa. Im Gegensatz zu Windows 7 und zu den früheren Versionen, können die Windows 8 Benutzer die Flash Player Version im Browser nicht automatisch aktualisieren. Dafür müssen sie auf die  Adobe Support Seite gehen, die Updates suchen und diese manuell installieren.

 

rn