Schadsoftware wie Petya 2 das Starten vonPsExec verweigern

PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.

Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.

Navigiere zu folgendem Registry-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.

Windows 64-Bit

Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.

Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.

Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.

Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.

Windows 32-Bit

Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.

Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.

Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.

Einfach aber erfolgreich

Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.