Zu verhindern, dass ein einmal infizierter PC Updates und Informationen von AV-Herstellern aus dem Internet lädt, gehört schon fast zum Standardprogramm aktueller Schädlinge. F-Secure hat jetzt jedoch erstmals ein Exemplar entdeckt, das dies über richtige Firewall-Funktionen realisiert.
Normalerweise verhindern Viren die Verbindungen zu Update-Sites über Einträge in der hosts-Datei. Dort sorgt ein Eintrag wie beispielsweise
127.0.0.1 windowsupdate.microsoft.comdafür, dass Verbindungsversuche mit der Windows-Update-Seite auf den lokalen Rechner umgeleitet werden, der sie nicht beantworten kann.
F-Secure hat bei der Analyse einer neuen Bagle-Variante festgestellt, dass dieser das Paketfilter-API von Windows nutzt, um Pakete an bestimmte Adressen auszufiltern. Auf der Liste der geblockten Sites finden sich wie üblich Adressen von Antiviren-Herstellern und diverse Microsoft-Server. Der von F-Secure als Fantibag.B bezeichnete Schädling realisiert dies über die Bibliothek firewall_anti.dll, die er im Windows-Verzeichnis ablegt und in den Adressraum des Internet Explorer einblendet (DLL-Injection).
Quelle und Links :
http://www.heise.de/newsticker/meldung/61300
