Security Shield – Malware mit Ladehemmung?

Da googelt man nichtsahnend nach einem DB2 Fehlercode, klickt eines der Googleergebnisse an und schwupps, sieht man das:

Eine russische URL und „Security Shield“ sagen eigentlich alles: Scareware. Praktischerweise war das eine VM und auch keine wichtige. Also fix hart ausgeschaltet, dann kann man sich das in Ruhe anschauen.

Danach die virtuelle Festplatte an ein anderes System drangehängt und den Werkzeugkasten gezückt. Die Sysinternals Suite ist wirklich Gold wert. Erstaunlicherweise meldete Autoruns keinen einzigen obskuren Eintrag. In %userprofile%\AppData\local lag aber eine exe mit dem passenden Logo, die da garantiert nicht hingehört. Hat sich das Ding etwa etwas geschickter eingeklinkt, als über einen schnöden Autostarteintrag in der Registry? Machen wir einen Snapshot von der VM, ziehen das virtuelle Netzwerkkabel und starten sie durch.

Der nächste Griff in den Werkzeugkasten geht natürlich in Richtung Process Explorer. Ich hatte mich ja schon darauf eingestellt, ein bisschen herausgefordert zu werden. Beim Start gab es jedenfalls keine Popups oder sonstige Hinweise aus Scareware. Der Process Explorer zeigt auf den ersten Blick auch nichts Verdächtiges. Auch in den Dienstprozessen sind keinerlei ungewöhnliche oder unsignierte Sachen versteckt. Ist das Ding richtig geschickt oder ein simpler Blindgänger, der es nach dem Download nicht geschafft hat, sich irgendwo zu einzuklinken?

Nehmen wir halt mal einen Systemstart mit dem Process Monitor auf. Nichts verweist irgendwie (direkt) auf die exe. Sehr merkwürdig. Gibt es vielleicht irgendwelche unsignierten DLLs im Windowsverzeichnis oder geplante Tasks, die mit der Malware zu tun haben könnten? Nein.

Schmeißen wir also die exe runter, reinigen die üblichen Verzeichnisse und starten neu. Erstaunlicherweise bleibt alles verschwunden. Schmeißen wir also Google an, nur für den Fall, dass hier jemand tatsächlich richtig schlau war. Scheint nicht so zu sein. Security Shield ist wohl klassische Wald- und Wiesen Scareware, die irgendwo ihre exe hinwirft und sich dann über den Run Schlüssel des Userzweigs startet.

Hmm. War wohl tatsächlich ein Rohrkrepierer. Immerhin, wenn ich nichts übersehen habe – ausschließen kann man das praktisch nie – wäre das die erste ungewollte Malwareinfektion seit rund 15 Jahren gewesen.