![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Noch eine kurze Sicherheitsinfo: Eine Schadsoftware mit dem Namen Trojan.DNSChanger kann die Sicherheitseinstellungen der Powershell unter Windows umgehen.<\/p>\nNoch eine kurze Sicherheitsinfo: Eine Schadsoftware mit dem Namen Trojan.DNSChanger kann die Sicherheitseinstellungen der Powershell unter Windows umgehen.<\/p>\n
<\/p>\n
Normalerweise verhindert PowerShell mit den Standardvorgabe die Ausf\u00fchrung von PS-Scripten (siehe mein Artikel PowerShell-Skripte lassen sich nicht ausf\u00fchren<\/a>). Die Ausf\u00fchrungsregeln f\u00fcr PowerShell-Scripte ist standardm\u00e4\u00dfig auf \"Restricted\" gesetzt. Allerdings ist die PowerShell eine potentielle Schwachstelle, wie ich vor l\u00e4ngerer Zeit im Artikel Windows PowerShell als Einfallstor f\u00fcr Malware<\/a> ausgef\u00fchrt habe. <\/p>\n Nun wurde eine Malware mit dem Namen Trojan.DNSChanger entdeckt, die sich die PowerShell zunutze macht und die PowerShell-Restriktionen umgeht. Darauf weist Malwarebytes in diesem Blog-Beitrag<\/a> hin. Die Autoren des Blog-Beitrags weisen darauf hin, dass es m\u00f6glich ist, ein PowerShell-Script so zu verschl\u00fcsseln (encoden), dass es wie ein einzelner Befehl aussieht. Adware zum \u00c4ndern der DNS-Einstellungen sieht meist so aus.<\/p>\n Die jetzt entdeckte Adware verwendet die Aufgabenplanung zur Ausf\u00fchrung, wobei ein Zufallsname und eine zuf\u00e4llige ClassID zur Ausf\u00fchrung des PowserShell-Befehls verwendet wird. Details zu dieser Malware finden sich in diesem Malwarebytes Blog-Beitrag<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Noch eine kurze Sicherheitsinfo: Eine Schadsoftware mit dem Namen Trojan.DNSChanger kann die Sicherheitseinstellungen der Powershell unter Windows umgehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[1822,1018,4311,4328],"class_list":["post-173191","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-dns-changer","tag-malware","tag-powershell","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/173191","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=173191"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/173191\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=173191"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=173191"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=173191"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden \u2013EncodedCommand {very long string}<\/pre>\n