Die DEUTSCHEN Trojaner-Seiten
Home
BioNet 3.12 - Trojaner killt Sicherheits-Software

Auf dem ersten Blick erscheint BioNet 3.12 wie jeder andere Backdoor-Trojaner mit vielseitigen Funktionen ála SubSeven & Co. (siehe auch Trojaner-Archiv).

Betrachtet man BioNet mal von der "bösen Seite", so liegt seine wahre Stärke darin, nahezu alle bekannten Firewalls, Viren- und Trojanerscanner zu deaktivieren.

Bereits bei der Installation der Serverdatei (dem eigentlichen Trojaner, der auf dem PC des Opfers gelangen soll) fragt BioNet verschiedene Registry-Informationen über die Existenz einiger Sicherheitsprogramme ab:

HKEY_LOCAL_MACHINE\Software\WRQ\IAM\Installation Info\

HKEY_LOCAL_MACHINE\Software\TinySoftware\WinRoute\

HKEY_LOCAL_MACHINE\Software\McAfee\McAfee Firewall\

HKEY_LOCAL_MACHINE\Software\MooSoft Development\The Cleaner\

HKEY_LOCAL_MACHINE\Software\Signal 9 Solutions\ConSeal PC Firewall\

Obendrein
überwacht der Trojaner im 5 Sekundentakt alle laufenden Prozesse (also alle Programme, die zur Zeit im System aktiv sind oder auch im laufenden Betrieb aktiviert werden). Findet BioNet ein ihm bekanntes Programm, wird dieses ohne Rückfrage und Einfluss seitens des Anwenders beendet. Darunter gehören Dateinamen vieler bekannter Programme:

AVP32
AVPCC
AVPM
AVP32
AVPCC
AVPM
AVP
NAVAPW32
NAVW32
ICLOAD95
ICMON
ICSUPP95
ICLOADNT
ICSUPPNT
IFACE
ANTS
Anti-Trojan
iamapp
iamserv
FRW
blackice
blackd
zonealarm
vsmon
WrCtrl
WrAdmin
cleaner3
cleaner
tca
MooLive
lockdown2000
Sphinx
VSHWIN32
VSECOMR
WEBSCANX
AVCONSOL
VSSTAT

Hier handelt es sich also um Dateinamen, bekannter Security-Produkte wie z.B.: Kaspersky AntiVirus (ehemals AVP), McAfee, Anti-Trojan, The Cleaner oder auch die Firewalls ZoneAlarm, Sphinx, Conseal uvm. Sei es als Wächter im Hintergrund oder auch als Datei auf der Festplatte, die erst bei Bedarf gestartet wird.
Zum Beispiel: BioNet wird einen ihm bekannten Virenscanner wieder schliessen, sollte der Anwender eine manuelle Virensuche mit seiner Software durchführen wollen.

Somit erkennt BioNet "seine Feinde" an seinem Dateinamen und würde wohl auch die Installation derer verhindern bzw. beenden, sollte ein Anwender eine Software aufspielen wollen, wenn das System mit diesem Trojaner bereits infiziert worden ist.

Eine Möglichkeit, sich vor dieser neuen Technik eines Trojanischen Pferdes zu schützen besteht darin, die vorhandenen Dateien der jeweiligen Sicherheitsprogramme einfach in einen anderen Dateinamen umzubenennen. Hier gilt es jedoch zu beachten, dass auch eventuelle Verknüpfungen zu den Programmen entsprechend geändert bzw. neu erstellt werden müssen, damit das Programm auch über die Verknüpfung wieder ausgeführt werden kann.
Es stellt sich hier lediglich die Frage, wie lange diese Methode Bestand hat und ebenfalls durch einen Trojaner (z.B. neue BioNet Version) umgangen wird.

Angriffe gegen AntiViren Programme & Co. nennt man "Retrofunktion". Retroviren sind schon seit sehr langer Zeit bekannt und können ganze AV-Programme zerstören oder zu ihrem Vorteil beeinflussen. Bei Trojanischen Pferden hat es in der Vergangenheit lediglich nur Ansätze dazu gegeben, wurde jedoch in dieser und jetzigen Form noch nicht "öffentlich" angewandt.
HINWEIS: Es handelt sich auch hier noch nicht um einen echten Retro-Trojaner in dem Sinne, jedoch können durchaus Rückschlüsse gezogen werden, was uns in Zukunft noch zu erwarten hat.

(tt) 27.03.2001