![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Aktuell geistert eine potentielle Ransomware mit dem Namen Erebus durch das Web. Fordert angeblich 90 US $ L\u00f6segeld und soll die Benutzerkontensteuerung von Windows austricksen k\u00f6nnen. Dazu einige Anmerkungen und Informationen. <\/p>\nAktuell geistert eine potentielle Ransomware mit dem Namen Erebus durch das Web. Fordert angeblich 90 US $ L\u00f6segeld und soll die Benutzerkontensteuerung von Windows austricksen k\u00f6nnen. Dazu einige Anmerkungen und Informationen. <\/p>\n
<\/p>\n
\u00dcber den Verbreitungsweg der Schadsoftware ist nichts bekannt, nur dass diese recht trickreich vorgeht und Dateien per ROT-23 verschl\u00fcsselt. Das Ergebnis wird in .msj<\/em> umbenannt. Die Schadsoftware soll laut den Berichten nur 90 US $ an L\u00f6segeld fordern, was einen schon mal aufhorchen l\u00e4sst. <\/p>\n Was bei mir aber die Aufmerksamkeit erregt hat, sind die Berichte, dass die Malware die \"Benutzerkontensteuerung\" umgehen k\u00f6nne. Konkret: Die Malware wird aktiv, ohne dass der Benutzer davon etwas mitbekommt. Also habe versucht, das Ganze zu verstehen. Hier einige Hinweise, wie sich das Ganze darstellt. <\/p>\n Microsoft hat ja seit Windows Vista die Benutzerkontensteuerung eingef\u00fchrt, um administrative Berechtigungen nur nach Freigabe des Benutzers zu gew\u00e4hren. Dazu fordert die Benutzerkontensteuerung (UAC) die Freigabe an..<\/p>\n Je nach Aufruf kann die Freigabe \u00fcber die Ja<\/em>-Schaltfl\u00e4che erfolgen oder muss zus\u00e4tzlich durch ein Administrator-Kennwort autorisiert werden. So weit so gut oder so schlecht. <\/p>\n Das Verhalten zur Erteilung administrativer Berechtigungen h\u00e4ngt nun aber davon ab, unter welchem Benutzerkonto ein Anwender unterwegs ist und welche Funktion aufgerufen wird. Arbeitet man, wie meine Wenigkeit, ausschlie\u00dflich unter Standard-Benutzerkonten, erfolgt bei jeder Aufgabe, die administrative Berechtigungen erfordert, eine Anfrage der Benutzerkontensteuerung. Die Anfrage muss mit Kennwort des Administratorkontos und der Ja<\/em>-Schaltfl\u00e4che abgesegnet werden. Da f\u00fchrt kein Weg dran vorbei. <\/p>\n Es gibt einige ganz wenige F\u00e4lle, wo der Ansatz nicht funktioniert und man sich zwangsweise unter einem Administratorkonto anmelden muss. Dazu geh\u00f6ren z.B. die von Microsoft f\u00fcr Windows angebotenen Upgrade-Assistenten, um von Windows 7 auf Windows 8.1 oder auf Windows 10 zu aktualisieren.<\/p>\n<\/blockquote>\n Allerdings gibt es da ein Problem: Echte Kerle arbeiten unter einem Konto der Gruppe Administratoren \u2013 und normale Benutzer leider auch. Denn es wird oft nur ein Benutzerkonto eingerichtet, welches automatisch zur Gruppe der Administratoren geh\u00f6rt. <\/p>\n Die Theorie besagt, dass f\u00fcr administrative Berechtigungen eine Anfrage der Benutzerkontensteuerung mit Best\u00e4tigung des Benutzers erforderlich ist. In der Praxis ist das auch weitgehend so, mit einigen Ausnahmen. <\/p>\n Aus Komfortgr\u00fcnden hat Microsoft beim Wechsel von Windows Vista zu Windows 7 die Zahl der Benutzerabfragen von der Benutzerkontensteuerung reduziert \u2013 sofern man unter einem Konto der Gruppe Administratoren arbeitet. In obigem Fenster steht der Regler standardm\u00e4\u00dfig auf der zweiten Stufe von oben. Nachfragen der Benutzerkontensteuerung erfolgen daher nicht, wenn Einstellungen (die administrative Berechtigungen erfordern) ge\u00e4ndert werden. Eine Nachfrage erfolgt auch nicht, wenn die Ereignisanzeige eventvwr.msc <\/em>aus einem Administratorkonto aufgerufen wird. Nur wenn Prozesse \u00c4nderungen am Computer erfordert, fragt die Benutzerkontensteuerung nach. <\/p>\n Dieses Wissen macht sich Malware zunutze, um die sichtbare Anzeige der Benutzerkontensteuerung mit Best\u00e4tigung des Benutzers zu umgehen. Konkret passt Eberus beim Eindringen in ein System den Open<\/em>-Eintrag f\u00fcr den Dateityp .msc<\/em>-Dateityp f\u00fcr das Benutzerkonto so an, dass der eigene Programmcode aufgerufen wird. <\/p>\n Danach wird die Ereignisanzeige eventvwr.exe <\/em>gestartet, die wiederum das MMC Snap-in eventvwr.msc<\/em> \u00fcber den Dateityp aufruft. Und hier rei\u00dft die Sicherheitskette, wenn die Nutzer unter einem Administratorkonto arbeiten. Der vermeintliche Aufruf der Ereignisanzeige fordert kein Dialogfeld der Benutzerkontensteuerung an, sondern erteilt die Berechtigungen per UAC automatisch. Da in der Registrierung aber die Erebus-Ransomware als .msc-Dateityp registriert ist, wird der Sch\u00e4dling ohne Nachfrage durch die Benutzerkontensteuerung aktiv und kann mit administrativen Berechtigungen arbeiten. <\/p>\n Man kann nun bei heise.de nachlesen, dass man den Einstellungen f\u00fcr die Benutzerkontensteuerung den Schieberegler auf die oberste Stufe \"Immer benachrichtigen\" setzen solle, um die \"unsichere Benutzerkonteneinstellung\" abzudichten. Dann ist man, vom Benutzerkomfort, beim Level von Windows Vista. <\/p>\n Was in den Artikeln (zumindest habe ich beim \u00dcberfliegen nichts gelesen) verschwiegen wird: Arbeitet man unter einem Standard-Benutzerkonto, l\u00e4uft der Angriff ins Leere. Ich habe es zur Sicherheit explizit nochmals in Windows 10 Version 1607 probiert. Ruft man die Ereignisanzeige per Startmen\u00fc auf, l\u00e4uft diese nicht mit erh\u00f6hten Rechten \u2013 erkennbar z.B. am Umstand, dass man keine Protokolleintr\u00e4ge l\u00f6schen kann (es wird ein Access denied-Fehler gemeldet). Ergo bringt dort auch eine Manipulation der Registrierung f\u00fcr den Dateityp .msc<\/em> nichts. <\/p>\n Ich hatte es heute schon den Werbespruch \"Beton, es kommt darauf an, was man daraus macht\" zitiert. Hier trifft Microsoft (in meinen Augen) keine Schuld, denn Windows stellt Sicherheitsma\u00dfnahmen bereit, die bei richtiger Anwendung auch funktionieren. Ich glaube auch nicht, dass ich jetzt etwas \u00fcbersehen habe. <\/p>\n \u00c4hnliche Artikel:<\/strong> Aktuell geistert eine potentielle Ransomware mit dem Namen Erebus durch das Web. Fordert angeblich 90 US $ L\u00f6segeld und soll die Benutzerkontensteuerung von Windows austricksen k\u00f6nnen. Dazu einige Anmerkungen und Informationen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,3694],"tags":[5921,4715,4325],"class_list":["post-187365","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows-10","tag-erebus","tag-ransomware","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187365","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187365"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187365\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187365"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187365"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187365"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Geschichte ist etwas mysteri\u00f6s, eine Malware mit dem Namen Erebus wurde von TrendMicro und vom MalwareHunterTeam beschrieben. Es handelt sich aber wohl um verschiedene Sch\u00e4dlinge. Bei Bleeping Computer hat man Erebus bereits am 7. Februar 2017 in einem Artikel<\/a> beschrieben. Einen deutschsprachigen Artikel<\/a> gibt es bei heise.de. <\/p>\n
Die Krux mit der Benutzerkontensteuerung<\/h3>\n
![\"Benutzerkontensteuerung\"](\"https:\/\/i.imgur.com\/jcdD3nS.jpg\"\/ "\\"Benutzerkontensteuerung\\"")
<\/p>\n\n
![\"Einstellungen](\"https:\/\/i.imgur.com\/PPGmJFK.jpg\"\/ "\\"Einstellungen")
<\/p>\nDie UAC-Bypass-Methode<\/h3>\n<\/p>\n
<\/p>\n
Windows und die Benutzerkontensteuerung \u2026<\/a>
Wissen: Die Benutzerkontensteuerung unter Windows 7 \u2026<\/a>
Windows: Ja bei Benutzerkontensteuerung nicht anw\u00e4hlbar<\/a>
Windows: Benutzerkontensteuerung (UAC) unsichtbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"