Rückkehr der Bootsektor-Viren

Mehrere Sicherheitsforscher haben Schädlinge entdeckt, die sich im Master-Boot-Record der Festplatte einnisten und per Rootkit-Techniken verstecken.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 255 Beiträge
Von
  • Dirk Martin Knop

Der Entwickler der Anti-Rootkit-Software GMER hat einen Schädling entdeckt, der sich im Master-Boot-Record (MBR) der Festplatte einnistet und Rootkit-Techniken verwendet, um sich im Windows-System zu verstecken. Die Forscher des Sicherheitsunternehmens Prevx haben den Schädling auf mehreren kompromittierten Webseiten entdeckt, die Sicherheitslücken in veralteter Software ausnutzen, um Schadsoftware einzuschleusen.

Das bislang namenlose MBR-Rootkit basiert auf dem frei verfügbaren Code von BootRoot, einer Machbarkeitsstudie des Sicherheitsdienstleisters eEye. Forscher des Unternehmens hatten auf der Blackhat-USA-Konferenz 2005 demonstriert, wie sich ein Schädling in den MBR einnisten, beim Starten des Systems Treiber manipulieren und so den Kernel von Windows NT und darauffolgenden Windows-Systemen unterwandern kann.

Der jetzt entdeckte Schädling kopiert laut der Beschreibung von GMER zunächst den originalen Bootsektor auf den Sektor 62 der Festplatte, kopiert sich selbst in den MBR und schreibt weitere Daten in die Sektoren 60 und 61 der Festplatte. Den Rootkit-Treiber schreibt der Schädling auf freie Sektoren, üblicherweise die letzten Sektoren auf der Festplatte. Der Code im MBR ist anschließend verantwortlich, den Rootkit-Treiber zu laden.

Nach einem Neustart klinkt sich der Code im MBR in den Interrupt 13h ein und erhält dadurch die Kontrolle über geladene Daten und kann sich in den Windows-Kernel einklinken und ihn so patchen, dass dieser den Rootkit-Treiber lädt. Der Rootkit-Treiber klinkt sich wiederum in die Systemfunktionen IRP_MJ_READ und IRP_MJ_WRITE des Treibers disk.sys ein und leitet Leseanfragen für den Bootsektor auf den originalen Code im Sektor 62 um. Außerdem baut der Treiber Verbindungen ins Internet auf.

Das MBR-Rootkit läuft unter Windows Vista nur eingeschränkt: Sofern die Benutzerkontensteuerung aktiviert ist, kann es sich nicht einnisten. Außerdem soll der Code zum Suchen der zu patchenden Stelle im Kernel unter Vista fehlerhaft sein. Unter Windows XP soll es jedoch funktionieren.

Aufspüren lässt sich das Rootkit mit einer sogenannten Cross-Reference, bei der man die Ergebnisse einer Windows-Funktion nach dem Lesen des Bootsektors mit den Ergebnissen eines Direktzugriffs unter Umgehung der Windows-Funktionen vergleicht. Das Entfernen gestaltet sich offenbar auch recht einfach. Mit dem Windows-Werkzeug fixmbr kann man den Schadcode überschreiben und so unschädlich machen.

Zu DOS-Zeiten waren Bootsektor-Viren keine Seltenheit, mit dem Aufkommen von Windows NT sowie der Verbreitung von Windows XP auch bei Privatanwendern verloren sie jedoch an Bedeutung. Die alten MBR-Schädlinge sind unter den aktuellen Betriebssystemen in der Regel auch nicht lauffähig. Vor Kurzem sorgte dennoch ein Medion-Notebook, das mit einem alten DOS-MBR-Virus von der ALDI-Handelskette ausgeliefert wurde, für Aufsehen. Die jetzt hauptsächlich auf kompromittierten italienischen Webseiten entdeckten MBR-Rootkits stellen jedoch eine neue Gefahr dar, für die die Antivirenhersteller zügig Erkennungs- und Entfernungsmechanismen entwickeln müssen.

Siehe dazu auch:

(dmk)