Trend Micro entdeckt neue Rootkit-Variante

Mit gängigen Sicherheitsmaßnahmen ist ein Rootkit nicht aufzuspüren, das Forscher der IT-Security-Firma Trend Micro entdeckt haben. Es basiert auf einer altbekannten Schadsoftware.

Ein Trend, der sich im Bereich Malware abzeichnet, ist das »Aufpeppen« bereits bekannter Schadsoftware. Ein Beispiel dafür ist eine Variante des MBR-Rootkits, das Fachleute von Trend Micro »in freier Wildbahn« entdeckt haben.

Nach Angaben von Trend Micro haben die Viren-Programmierer der neuen Version des MBR-Rootkits jedoch die Fähigkeit verliehen, die Schutzmechanismen der meisten Antiviren- und Anti-Rootkit-Programme zu umgehen.

»Es ist nur eine Variante einer bereits bekannten Angriffsform«, sagt Jamz Yaneza, Projektmanager bei Trend Micro. Anti-Rootkits konnten die hergebrachte Form von MBR anhand spezieller Code-Zeilen identifizieren und ausschalten. Die neue Version verfügt über die Fähigkeit, diese Code-Zeilen zu modifizieren und damit die Abwehrprogramme zu täuschen.

Der Ansatzpunkt der Attacke selbst ist derselbe wie zuvor: Das Rootkit koppelt sich an einen Storage-Treiber an, um sich beziehungsweise die Malware zu verstecken.

Die Schadsoftware gelangt auf den üblichen Wegen auf die Zielrechner: über infizierte Web-Seiten oder Links. Auch in Werbebannern auf Web-Seiten bekannter Firmen oder Medien lässt sich das Programm verstecken.

Trend Micro geht davon aus, dass nicht nur Rechner von Privatpersonen mithilfe des MBR-Rootkits angegriffen werden, sondern in Kürze auch Firmennetze. Einen 100-prozentigen Schutz gegen diese neue Form von versteckten Angriffen gibt es laut Yaneza nicht. Das Risiko lasse sich minimieren, indem Nutzer Schutzsoftware oder Web-Filter-Appliances einsetzen und diese Systeme möglichst häufig auf den neuesten Stand bringen.