239479

Blue Pill - das unauffindbare Rootkit?

30.06.2006 | 15:11 Uhr |

Die Virtualisierungstechnik in neuen AMD-Prozessoren soll ein Rootkit möglich machen, das nicht entdeckt werden kann.

Die 64-Bit-Versionen von Windows Vista sollen die heimliche Installation von Kernel-Mode-Rootkits zumindest erschweren, wenn nicht unmöglich machen. Joanna Rutkowska von der IT-Sicherheitfirma COSEINC in Singapur will demnächst auf einer Sicherheitskonferenz ein Konzept vorstellen, wie ein nicht zu entdeckendes Rootkit erstellt werden kann, das ohne Treiberinstallation auskommt.

Das von der Malware-Fachfrau "Blue Pill" getaufte Rootkit-Konzept nutzt nach ihren Angaben eine von AMD entwickelte Technik namens "Secure Virtual Machine" (SVM), die auch unter dem Code-Namen "Pacifica" bekannt ist. Sie ähnelt in vieler Hinsicht Intels "Vanderpole". Beide Methoden verlagern die Kontrolle virtueller Maschinen teilweise oder ganz in die Hardware des Hauptprozessors.

Die angekündigte "blaue Pille" soll einen PC ohne Neustart des Systems unter die Kontrolle eines Rootkits bringen. Dank der Virtualisierungstechnik in AMD64-Prozessoren soll es keine Leistungseinbußen des Rechners geben. Auch alle Geräte, wie etwa Grafikkarten, sind für das Betriebssystem weiterhin voll zugänglich - im Unterschied zu heutigen Software-Lösungen wie VMware.

Joanna Rutkowska betont in ihrem Weblog , dass ihr Konzept nicht auf Fehlern in Betriebssystemen basiere. Sie habe bereits einen funktionierenden Prototypen für Vista x64 entwickelt, den sie Ende Juli auf der Syscan-Konferenz in Singapur vorstellen wolle. Sie sehe jedoch keine Hindernisse für eine Portierung ihrer "Blue Pill" auf Linux oder andere Unix-Systeme.

0 Kommentare zu diesem Artikel
239479