ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Betriebssystem

Schadsoftware kann Master Boot Record löschen

Ferdinand Thommes
43 Kommentare

Eine Malware, die derzeit mit Hilfe von Spam-Mails verteilt wird, kann laut einem Bericht der Sicherheitsexperten von Trend Micro nicht nur dazu führen, dass Computer aus der Ferne übernommen werden, sondern kann auch den Bildschirm der betroffenen Geräte einfrieren oder den Master Boot Record (MBR) löschen.

Die derzeit in Deutschland per Spam-Mail verteilte Malware landet als Rechnung im Zip-Format getarnt in den digitalen Briefkästen. Die Einzelheiten der vermeintlichen Zahlungsverpflichtung sind angeblich im Anhang der E-Mail enthalten. Das Öffnen dieses Anhangs setzt die Schadroutine in Gang und installiert eine Backdoor auf dem Rechner, der dann von „Command and Control Servern“ (C&C) Befehle und weitere Schadroutinen erhält.

Die als BKDR_MATSNU.MCB bekannte Backdoor sammelt zunächst einmal relevante Informationen vom betroffenen Rechner und sendet diese an die C&C-Server. Nach welchen Kriterien und/oder in welcher Reihenfolge die folgenden Szenarien gestartet werden ist noch nicht ganz klar.

Ein Szenario führt dazu, dass der Bildschirm eingefroren wird und im bekannten Stil von Ransomware ein „Lösegeld“ gefordert wird. In Deutschland geht die Schadsoftware etwas subtiler als in der Vergangenheit vor und verwendet als vermeintlichen Absender der auf dem Bildschirm eingeblendeten Zahlungsaufforderung deutsche Strafverfolgungsbehörden, um dem Betrug mehr Glaubwürdigkeit zu verleihen.

Das ging in den vergangenen Monaten bei ähnlichen Angriffen so weit, dass dem Nutzer vorher Material von dokumentiertem Kindesmissbrauch und urheberrechtlich geschützte Werke untergeschoben wurden, dessen er dann von der vermeintlichen Behörde beschuldigt und ein Bußgeld gefordert wurde, um den Rechner zu entsperren.

Spam-Mail mit Schadsoftware
Spam-Mail mit Schadsoftware (Bild: Trend Micro)

Eine weitere Variante weist den Computer an, seinen eigenen MBR zu löschen, was in der Folge zu einem nicht länger startfähigen Gerät führt. Diese Methode richtete im März in einem ähnlichen Fall in Südkorea großen Schaden durch Ausfallzeiten von Servern an. Auch hier wurden Spam-Mails, diesmal jedoch gezielt, an Institutionen versandt und Schadsoftware injiziert. Diese verharrte bis zu ihrer Aktivierung am 20. März still. Daraufhin wurden dann Verbindungen der betroffenen Rechner zu verbundenen Servern in den Applikationen mRemote und SecureCRT gesucht. Dort gefundene Zugangsdaten zu Root-Accounts wurden benutzt, um sich an entfernten AIS- HP-UX- und Solaris-Server anzumelden und den MBR zu löschen. Wenn das nicht funktionierte, wurden die Verzeichnisse /kernel/, /usr/, /etc/ und /home/ gelöscht. Abschließend wurde noch der MBR des Ursprungsrechners entfernt.

Aus welchem Grund die Löschung des MBR geschieht ist derzeit unklar, ein ersichtlicher Gewinn lässt sich damit nicht erzielen.

CB-Funk Podcast #70: Benchmarks ohne Ende, FSR 3.1 (?) und Copilot+ PCs mit Arm mit Fabian und Jan-Frederik
Microsoft Build 2024 (21.–23. Mai 2024): Alle News auf der Themenseite!

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz