SECURITY- Schädling greift Screen-Reader-Software an
Im Sicherheits-Blog von Sophos berichten die Sicherheitsexperten von einem Schädling, der sogenannte Screen-Reader-Software für blinde und sehbehinderte Computernutzer abschießt. Screen-Reader lesen die Bildschirminhalte vor und ermöglichen so Blinden, Computer zu nutzen.Das Problem konnten die betroffenen Nutzer offenbar schnell einkreisen: Für den eingesetzten populären Screen-Reader JAWS hatten die Anwender einen Crack aus dem Netz geladen und installiert. Dieser Crack hatte jedoch neben der Patch-Routine, die Jaws auch ohne gültige Lizenz lauffähig macht, einen Schädling im Gepäck.
Der Trojaner bringt auch eine Schadroutine mit: Seit dem 26. Dezember des vergangenen Jahres wird er aktiv und durchsucht die Prozessliste nach Namen bekannter Screen-Reader wie Jaws, Windows Eyes, Microsoft Narrator, HAL Screen Reader sowie Kurzweil und beendet sie. Dadurch können die Betroffenen möglicherweise ihren Rechner nicht mehr bedienen.Der Schädling schützt seine Prozesse vor dem Beenden, indem zwei Prozesse überprüfen, ob der jeweils andere Prozess noch aktiv ist und gegebenenfalls erneut eine Kopie starten. Er überwacht zudem seinen Registry-Schlüssel zum Autostart und stellt ihn wieder her, sollte er verändert oder gelöscht werden. Er lässt sich Sophos zufolge daher am besten mit einem Virenscanner auf einem sauberen Bootmedium entfernen.
Die Motivation der Schädlingsbastler bleibt derweil unklar, sie scheint aber mangels Keylogger-Funktion nicht finanzieller Natur zu sein. Es hat vielmehr den Anschein, als wollte der Autor Nutzer illegaler Software-Kopien bestrafen .
(quelle:Heise.de)
Der Trojaner bringt auch eine Schadroutine mit: Seit dem 26. Dezember des vergangenen Jahres wird er aktiv und durchsucht die Prozessliste nach Namen bekannter Screen-Reader wie Jaws, Windows Eyes, Microsoft Narrator, HAL Screen Reader sowie Kurzweil und beendet sie. Dadurch können die Betroffenen möglicherweise ihren Rechner nicht mehr bedienen.Der Schädling schützt seine Prozesse vor dem Beenden, indem zwei Prozesse überprüfen, ob der jeweils andere Prozess noch aktiv ist und gegebenenfalls erneut eine Kopie starten. Er überwacht zudem seinen Registry-Schlüssel zum Autostart und stellt ihn wieder her, sollte er verändert oder gelöscht werden. Er lässt sich Sophos zufolge daher am besten mit einem Virenscanner auf einem sauberen Bootmedium entfernen.
Die Motivation der Schädlingsbastler bleibt derweil unklar, sie scheint aber mangels Keylogger-Funktion nicht finanzieller Natur zu sein. Es hat vielmehr den Anschein, als wollte der Autor Nutzer illegaler Software-Kopien bestrafen .
(quelle:Heise.de)
Labels: Computer Internet Security
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite