23.05.2011 14:00
64-Bit-Rootkit spioniert Onlinebanking aus
Der Antivirenhersteller Kaspersky hat ein weiteres Rootkit mit 64-Bit-Unterstützung entdeckt: Eine Variante des Banker-Rootkits hat es auf die Zugangsdaten brasilianischer Onlinebanking-Kunden abgesehen. Der Schädling wird durch eine Lücke in einer veralteten Java-Version ins System eingeschleust und deaktiviert zunächst die Benutzerkontensteuerung (UAC) von Windows, um ungestört sein Werk verrichten zu können. Anschließend installiert er gefälschte Wurzelzertifikate und ändert die HOSTS-Datei, wodurch das Opfer beim Besuch der Bankenwebsite auf eine von den Betrügern betriebene Phishing-Seite umgeleitet wird. Durch das installierte Zertifikat gibt der Browser beim Aufbau der verschlüsselten Verbindung zur Phishing-Seite keine Warnmeldung aus, und das Opfer schöpft keinen Verdacht. Anschließend löscht der Schädling laut Kaspersky noch ein Sicherheitsplugin, das von einigen brasilianischen Banken verwendet wird.
Ungewöhnlich ist, dass die Malware für die Deinstallation des Sicherheitsplugins und die Modifikation des HOSTS-Datei einen eigenen Treiber im System verankert. Dies ist unter einem 64-Bit-Windows mit einigem Aufwand verbunden, da Microsofts Kernel Patch Protection (PatchGuard) die Installation unsignierter Treiber verhindert. Da 64-Bit-Installationen von Windows zudem einen recht geringen Marktanteil haben, sind Rootkits mit 64-Bit-Unterstützung derzeit noch eine seltene Erscheinung. Im November vergangenen Jahres wurde etwa eine 64-Bit-Version des Alureon/TDL-Rootkits gesichtet.
Unerwartete Schützenhilfe: Das Microsoft-Tool bcdedit.exe erlaubt es dem Rootkit, die Kernel Patch Protection eines 64-bit-Windows zu umgehen.
Bild: Kaspersky Lab
Ähnlich wie Alureon nutzt Banker einen für Entwickler gedachten Testmodus, um PatchGuard zu umgehen: Der Schädling aktiviert mit Hilfe des Microsoft-Tools bcdedit.exe die TESTSIGNING-Option, wodurch Windows klaglos das Testzertifikat des Rootkit-Treibers plusdriver64.sys akzeptiert. Den TESTSIGNING-Modus hat Microsoft eigentlich als Hintertür für Entwickler in Windows integriert, die ihre eigenen Treiberkreationen auf einem 64-Bit-System testen wollen, noch bevor diese endgültig signiert sind. Er existiert seit Vista in den 64-bittigen Windows-Versionen.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
