Neue Form von kombinierten Trojaner-Rootkit-Angriffen

In den Panda-Security-Labors wurden neue Trojaner-Exemplare entdeckt und analysiert, die aufgrund der in ihnen integrierten Rootkits in der Lage sind, den Master Boot Record (MBR), also den ersten Datenblock in einer Festplatte, in infizierten Computern auszutauschen. Dies ist eine neue Eigenschaft von Rootkits, die eine Entdeckung der dazugehörigen Malware zusätzlich erschwert. Bisher bekannte Rootkits installieren sich in Systemprozesse, während sich die neu entdeckten Rootkits auf einem Teil der Festplatte implementieren, der schon beim Bootvorgang - bevor das Betriebssystem gestartet ist - aktiv ist.

Hat sich ein solches Rootkit auf einem System installiert, erstellt es eine Kopie des vorhandenen MBRs, verändert diesen, indem es schädliche Befehle einfügt, und ersetzt den Original-MBR durch den manipulierten. Bei einem Versuch auf den MBR zuzugreifen, leitet das Rootkit jedoch direkt auf den Original-MBR um, sodass nichts Verdächtiges erkannt wird. Die durch das Rootkit vorgenommenen Veränderungen bewirken, dass der manipulierte MBR schon beim Hochfahren eines Systems aktiviert ist und sowohl das Rootkit selber als auch die zugehörigen Schädlinge nicht auffindbar sind. Das Rootkit verdeckt nicht nur – wie herkömmliche Rootkits – Erweiterungen oder Prozesse – , sondern trickst komplette Systeme aus. Es setzt sich dort fest, wo keine Unregelmäßigkeiten festgestellt werden, da es vom Datenspeicher aus alle Zugriffe auf die Festplatte überwacht.

"Diese Angriffsmethode macht es aktuell praktisch unmöglich, installierte Rootkits und die entsprechende Malware zu entdecken. Die einzig zuverlässige Verteidigung gegen solche Rootkits, ist die Prävention. Diese müssen erkannt und abgewehrt werden, noch bevor sie ins System eindringen. Proaktive Technologien, die auch unidentifizierte Schadprogramme aufspüren, sind dazu notwendig", erklärt der Technische Direktor der Panda-Labs, Luis Corrons.

Die neuen Rootkits können auch Linux-Systeme infizieren. Besteht der Verdacht, dass ein solches Rootkit installiert ist, sollten betroffene Anwender ihre Rechner mit einer Boot-CD hochfahren, um den Master Boot Record zu umgehen. Um die schädliche Veränderung rückgängig zu machen, sollte der MBR anschließend zum Beispiel mit dem systeminternen Tool fixmbr innerhalb der Windows-Recovery-Konsole zurückgesetzt werden. LANline/wj

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice