Windows Error Reporting: Hacker missbrauchen Dienst für Malware-Angriff

Artikel ansehen

Malwarebytes sagt unter anderem in seiner Analyse folgendes aus:

Die Klasse „Kraken“ enthält den Shellcode, der in den Zielprozess injiziert wird, der in dieser Klasse als „WerFault.exe“ definiert ist. Sie hat nur eine Funktion, die die Load-Funktion der Klasse Loader mit Shellcode und Zielprozess als Parameter aufruft.

WerFault.exe ist ein Bestandteil des gesamten WER-Dienstes, der automatisch ausgeführt wird wenn es zu internen System-Fehlern im Betrieb kommt.
Eine komplette Abschaltung des WER-Dienst müsste also auch, die eigentliche Loader-Abfrage unterbinden, was den Schadcode an seiner Ausführung hindern sollte!

Den WER-Dienst kann man per Powershell-Befehl abschalten:

Wenn man sich also nicht sicher ist, ob man sich diesen Kraken-Angriff eingefangen hat, könnte man mit diesem kleinen Trick erstmal größeren Schaden abwenden!