24.03.2008 13:03
MBR-Rootkit mutiert
Anfang des Jahres hat der Autor des Anti-Rootkit-Werkzeugs GMER einen neuen Bootsektor-Virus entdeckt, der sich im Master-Boot-Record (MBR) der Festplatte einnistet und mit Rootkit-Techniken den Windows-Kernel beim Systemstart manipuliert, um sich zu verstecken. Die Antivirenhersteller haben zwar Wege gefunden, den Schädling trotzdem zu erkennen, doch jetzt sind Varianten des MBR-Rootkits aufgetaucht, die sich mit einer noch ausgeklügelteren Tarnung einnisten wollen.
Die ersten Varianten des MBR-Rootkits haben lediglich Systemfunktionen der Laufwerkstreiber wie disk.sys verbogen, um den Inhalt des MBR zu verstecken. Die Antivirenhersteller und GMER konnten diese sogenannten Hooks umgehen, indem sie die Adresse des Original-Codes direkt anspringen, den sie aus der Systemfunktion ClassPnpReadWrite des Treibers Classpnp.sys extrahieren konnten. Die neuen Varianten des MBR-Rootkits manipulieren nun Werte in Classpnp.sys, damit die Erkennungsroutinen die falsche Adresse auslesen und die Erkennungsprogramme die Hooks des Rootkits verwenden – und somit wieder blind sind für eine Infektion. Außerdem startet die neue Variante einen Beobachtungsprozess, der den MBR und die Hooks überwacht und das Rootkit im Falle einer Entfernung erneut installiert.
Die Antivirenhersteller Trend Micro und McAfee haben ihre Erkennungsmechanismen bereits angepasst, um auch die neuen Varianten des MBR-Rootkits zu erkennen und entfernen. Der aktuelle GMER-Build stammt von Anfang März und kennt die neuen Tricks daher noch nicht. Im Verdachtsfall kann man jedoch mit einer Boot-CD mit aktuellem Virenscanner und frischen Signaturen, wie der Knoppicillin von c't 26/07, F-Secures Boot-CD oder der von Avira den Rechner starten und untersuchen; das Rootkit ist dann nicht aktiv und kann von den Virenscannern aufgespürt werden.
Siehe dazu auch:
- MBR Rootkit: new tricks added, Blog-Eintrag bei Prevx
- New MBR Rootkit Variant: MBR Rootkit vs. Anti-rootkit, Eintrag in Trend Micros Blog
- Exploring StealthMBR Defenses, Eintrag in McAfees Blog
- Download des Anti-Rootkit-Werkzeugs GMER
(dmk)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
