Nieuws
image

Trojaans paard sloopt Windows Taakbeheer

woensdag 2 september 2009, 09:48 door Redactie, 10 reacties

Zodra een systeem met malware is geïnfecteerd, wordt vaak op allerlei manieren geprobeerd de beveiliging verder te verlagen of uit te schakelen. Denk aan het wijzigen van de DNS-instellingen, het aanpassen van de security configuratie van Internet Explorer, verwijderen van systeembestanden en het beletten van toegang tot het register.

Onderzoekers van McAfee liepen gisteren tegen een Trojaans paard aan dat vergaande gevolgen voor de beveiliging van het systeem heeft. Zo schakelt het Windows Taakbeheer, Windows Update en de toolbars in Internet Explorer uit. Daarnaast laat het gebruikers niet meer hun systeem vergrendelen of wachtwoord wijzigen. Wie toch Ctrl+Alt+Del intoetst, krijgt alleen de mogelijkheid om het venster weer te sluiten. Omdat het verlies van Windows Taakbeheer de meest schadelijke actie van de malware is, kreeg die de naam QTaskMgr-1.

Reacties (10)
02-09-2009, 10:29 door meinonA
Zo schakelt het Windows Taakbeheer, Windows Update en de toolbars in Internet Explorer uit.

Dat zijn toch maar een paar simpele registry keys??? Die kan iedereen toch weer terug zetten?
02-09-2009, 10:36 door Anoniem
Dat is niets nieuws. Die dingen had je jaren geleden al. Oplossing is om de task manager een andere naam te geven of procexp te gebruiken...
02-09-2009, 10:54 door Anoniem
QTaskMgr-1. Het is dus geen trojaans paard; het is Apple's Quicktime :)
02-09-2009, 10:56 door SirDice
Door Anoniem: Oplossing is om de task manager een andere naam te geven
Dat werkt niet.

of procexp te gebruiken...
Dit wel.
02-09-2009, 13:12 door Anoniem
Door Anoniem: QTaskMgr-1. Het is dus geen trojaans paard; het is Apple's Quicktime :)
Is er een verschil dan ?

Overigens is dit best makkelijk weer rest te trekken door de regkey Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr van 1 naar 0 te zetten
02-09-2009, 14:36 door Anoniem
Door Anoniem:
Door Anoniem: QTaskMgr-1. Het is dus geen trojaans paard; het is Apple's Quicktime :)
Is er een verschil dan ?

Overigens is dit best makkelijk weer rest te trekken door de regkey Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr van 1 naar 0 te zetten

Deze regkey bestaat niet. Volgens mij zit je er naast...
02-09-2009, 15:47 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: QTaskMgr-1. Het is dus geen trojaans paard; het is Apple's Quicktime :)
Is er een verschil dan ?

Overigens is dit best makkelijk weer rest te trekken door de regkey Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr van 1 naar 0 te zetten

Deze regkey bestaat niet. Volgens mij zit je er naast...
Correctie :

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ Zoek de waarde DisableTaskMgr en zet de 1 naar 0
Is deze waarde er niet, is taskmgr ook niet uitgeschakeld.

Voor de gene die nog nog niet snappen :

Deze reg file is voor het uitschakelen van taskmanager

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001

en dees voor het inschakelen van taskmanager

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
Simpel maar effectief

Note: om het te laten werken moet je explorer herstarten.
02-09-2009, 19:14 door 0x29B
Deze methode is niet nieuw, ik heb het inderdaad ook al vaker gezien. Overigens zijn de hierboven genoemde registry tweaks leuk, maar de vraag is of ze ook effectief zijn. Stel als een trojan bijvoorbeeld deze registrykey in de gaten houdt middels een eventhandler ofzo. Dan kan het zomaar zijn dat de registrykey binnen no-time weer op 1 staat en dat je taskmanager weer weg is. Bovendien kan een trojan zich op allerlei plekken (shortcuts, plugins, etc etc) nestellen, dus als je niets vermoedend zo'n aangepaste shortcut, plugin of whatever opstart dan heb je een redelijk grote kans dat hij ook weer netjes al zijn registry tweaks etc weer opnieuw inschiet. In principe zou een trojan ook acls aan kunnen passen op bepaalde registrykeys waardoor je er moeilijker of niet meer bijkomt.... en zo kan ik nog wel 1001 dingen verzinnen. Conclusie als je geinfecteerd bent met een trojan dan is anything possible....
04-09-2009, 14:02 door Anoniem
Hoe kom je erachter welke bestanden door de trojan geinfecteerd zijn? Er zitten er een aantal op mijn pc alleen is het haast onmogelijk om ze te verwijderen. Ik weet ook niet of ze, wanneer ik een back up maak, nog steeds in die bestanden zitten...
11-12-2009, 10:21 door Anoniem
Geweldig veel tips.

(Er was bij mij wat malware de oorzaak, verwijderd met het gratis progje: Malwarebyte).
Na de registryaanpassing door mij, zonder positief gevolg, dus nog steeds geen taakbeheer toch even naar "process explorer" gezocht op aanraden.
Dit is een zeer mooi progrje, als alternatief voor de XP taskmgr.exe. In het menu kun je kiezen de originele taakmanager van MS te vervangen.
Je kunt dat ook vice-versa. Deed ik dus: Nu blijkt de taakmanager van XP weer gewoon te werken.

John
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search