News 16.04.2009, 11:23 Uhr

Fieses Rootkit spielt Verstecken

Tausende Webseiten wurden präpariert, um eine fiese Malware auf möglichst viele PCs zu schmuggeln. Das Schlimmste dabei: Viele Security-Produkte können das Rootkit nicht entdecken.
Das Rootkit versteckt sich tief im PC.
Bei der Malware handelt es sich um eine neue Variante des seit 2007 bekannten Rootkits Mebroot. Dies berichtet Jacques Erasmus von der IT-Sicherheitsfirma Prevx. Dieses nistete sich im Master Boot Record (MBR) ein. Dabei handelt es sich um Code, den ein Computer liest, wenn er das Betriebssystem startet.
Die jüngste Mebroot-Variante verhakt sich nun in diverse Funktionen des Kernels, also dem grundlegenden Code des Betriebssystems. Dabei verwischt das Rootkit seine Spuren und lässt den MBR so erscheinen, als sei dieser nicht verändert worden. Dadurch können auch gängige Anti-Malware-Programme die Schad-Software nicht entdecken. «Wenn der MBR untersucht wird, präsentiert die Malware eine perfekte Kopie des MBR und täuscht damit die Scan-Software», erklärt Erasmus.
Jedes Mal, wenn Windows gebootet wird, versteckt sich die jüngste Mebroot-Variante im Zwischenspeicher. Dadurch wird nichts auf die Festplatte geschrieben, auch dies eine Technik, um sich vor einer Entdeckung durch Anti-Viren-Software zu verstecken. Vom Memory aus kann der PC dann kontrolliert und von Hackern gekapert werden. Die Software kann sodann jede Information auf dem Rechner stehlen und an einen beliebigen Server im Internet schicken. Auch dieser Datenverkehr werde von der Mebroot-Variante geschickt verschleiert, führt Erasmus aus.
Infizieren kann sich jeder, da sich das Rootkit rein beim Besuch einer befallenen Webseite installiert. Laut Erasmus hat Prevx die Erkenntnisse an die bekannten Anti-Viren-Hersteller übermitteln. «Die arbeiten derzeit unter Hochdruck daran, die eigenen Anti-Malware-Engines anzupassen und auf die Methoden der jüngsten Mebroot-Variante zu sensibilisieren», sagt er.
Artikel drucken
Jens Stark
Kommentare
Avatar
Ray
16.04.2009
Die Branche lebt davon Wenn diese Schreckensmeldungen nicht wären, könnte man ja ohne Firewall und Virenschutz surfen. Es wäre auch nicht notwendig, die Software dauernd zu aktualisieren weil sie ja funktioniert. Wer sollte dann noch Software kaufen? Etwa die armen Menschen aus der dritten Welt? Welche andere Branche ist in der Lage, mangelhafte Produkte auszuliefern, die garantiert innert weniger Wochen teilweise sogar innert Tagen geflickt (gepacht) werden müssen? Wenn ich mich im Internet bewege, ist es für jedwelche Softwareanbieter und Marketingforscher und Google und Microsoft und...... möglich, all meine Aktivitäten zu analisieren. Trotzdem ist es scheinbar unmöglich die Entwickler und Verbreiter von Malware a) zu finden b) zu blockieren (Server konsequent abhängen) c) zu bestrafen Aber ich denke, das will man ja gar nicht. Es sägt niemand am Ast auf dem man sitzt. Es ist wie der kalte Krieg. Die eigene Aufrüstung kann man nur dann rechtfertigen, wenn man den Gegner auch leben lässt. Wenn alles stimmt was behauptet wird, müssen wir konsequent sein und den Stecker rausziehen. Dann lese ich wieder ganz altmodisch die Zeitung, höre analoges Radio und sehe analoges Fernsehen. Dabei bin ich immer misstrauisch und glaube weniger als die hälfte von dem was mir alles zufliesst. Dies ist dann (wenn das viele tun) auch wieder ein Schreckenszenario. Allerdings für die IT-Branche. Gruss Ray
Avatar
FRANOUKWEL
16.04.2009
Warum lese ich nirgends etwas Relevantes zum Thema, z.B. wie genau das Ding sich auf der pösen Webseite präsentiert und welche Technik (ActiveX? JS? Web2.0? oder gar das völlig veraltete HTML?) es verwendet? Viel Blabla ohne jeglichen Informationsgehalt. Oder erklär mir mal jemand, warum ich das wissen sollte, was da steht (und warum denn dieses Bild ausgewählt wurde). *Unterschreib*. :( Vielleicht gehören wir einfach nicht zum Zielpublikum.
Avatar
BlackIceDefender
17.04.2009
...Welche andere Branche ist in der Lage, mangelhafte Produkte auszuliefern, die garantiert innert weniger Wochen teilweise sogar innert Tagen geflickt (gepacht) werden müssen?... Ich bin ueberzeugt davon dass das rechtliche Konstrukt der Produktehaftung da weiter helfen wuerde. Leider ist Software rechtlich nicht ein Produkt (Device, Apparatus, tangible Asset) und somit gab es bis jetzt noch keine Produkthaftungsklagen. Auch wenn die Bemessung eines Schadens schwierig waere, waere ein Grundsatzentscheid in der Richtung wohltuend. Analog der Produktehaftungsklagen im Auto-Bereich. Erst diese Klagen bewegten etwa die amerikanischen Autobauer, nach modernen Gesichtspunkten relativ sichere Fahrzeuge zu bauen. ...Dann lese ich wieder ganz altmodisch die Zeitung, höre analoges Radio und sehe analoges Fernsehen. Dabei bin ich immer misstrauisch und glaube weniger als die hälfte von dem was mir alles zufliesst... Gruss Ray Das Lesen von echtem Papier , sei es Buch oder Zeitung, kann durch das Lesen ab Bildschirm nicht ersetzt werden. Es ist ein viel direkteres Erlebnis. Gesundes Misstrauen und der intellektuelle Standpunkt des Zweifels bezw, der These und Antithese gehoert eben zum Sein als unabhanegigen Citoyen.
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.