02.05.2012, 17:28

Frank Ziemann

Deep Defender

Die Archillesferse des ZeroAccess Rootkit

Installationsroutine des ZeroAccess Rootkit ©McAfee

Das recht weit verbreitete Rootkit ZeroAccess kann in einer kritischen Phase seiner Installation so blockiert werden, dass es sich selbst mit einer harmlosen Datei überschreibt und so von der Festplatte putzt.
Rootkits für Windows dienen als Tarnkappe und Startrampe für ein breites Spektrum gängiger PC-Schädlinge. Einer der prominentesten Vertreter dieser Malware-Klasse ist das Rootkit ZeroAccess. Es hilft beim Aufbau eines Bot-Netzes, das wiederum ein Basis für allerlei kriminelle Aktivitäten bietet. Klickbetrug, Spam-Versand und die Installation betrügerischer Schutzprogramme (Scareware) gehören zu den häufigsten Delikten, die mit der Hilfe dieses Bot-Netzes begangen werden.
Aditya Kapoor, Rootkit-Fachmann beim Antivirushersteller McAfee, beschäftigt sich schon länger mit ZeroAccess. Er hat nun einen Schwachpunkt in der Installationsroutine des Rootkits entdeckt, die er als dessen Archillesferse bezeichnet. Im Blog der McAfee Labs berichtet Kapoor, wie er die verwundbare Stelle gefunden hat.
Bei der Installation überschreibt ZeroAccess einen nahezu beliebigen Gerätetreiber, beispielsweise CDROM.SYS. Die Originaldatei hält das Rootkit zunächst im Speicher vor, um sie später in einem geschützten Ordner aufzubewahren. Beim Systemstart wird zunächst das Rootkit statt des Treibers geladen und lädt dann das Original nach, damit das betreffende Gerät normal funktioniert und kein Verdacht aufkommt. Dazu klinkt sich das Rootkit in die Windows-Schnittstelle für  Dateiein- und -ausgabe (Disk-I/O) ein und leitet Zugriffe bei Bedarf um.
Doch genau an dieser Stelle lässt sich ZeroAccess mit dem richtigen Werkzeug packen, bevor es sich einnisten kann. Aditya Kapoor benennt McAfee Deep Defender als ein solches Tool. Zwischen Speicher und Betriebssystem residierend verhindert es, dass ein Rootkit die Disk-I/O-Schnittstelle kapern kann. Die Folge ist für ZeroAccess verheerend.
Bei dem Versuch den Originaltreiber in seinen geschützten Ordner zu schreiben, ist die von der Installationsroutine des Rootkits voraus gesetzte Umleitung des Schreibzugriffs nicht vorhanden. Damit landet der Schreibvorgang auf dem Rootkit-Treiber, der am ursprünglichen Speicherort des Originaltreibers (in diesem Beispiel CDROM.SYS) liegt. Das heißt, der Schädling überschreibt sich selbst wieder mit der sauberen Originaldatei des Gerätetreibers. Das Rootkit befindet sich zwar weiterhin im Arbeitsspeicher des Rechners, überlebt dort jedoch den nächsten Systemstart nicht. Genau dies ist jedoch der Sinn hinter dem beabsichtigten und im Normalfall erfolgreichen Umbiegen der Disk-I/O-Zugriffe.
Ein Programm wie Deep Defender kann allerdings nur eine letzte Verteidigungslinie in einem mehrschichtigen Schutzkonzept sein. Regelmäßige Updates der installierten Software (darunter Windows, Browser und Plug-ins), ein aktuelles Antivirusprogramm sowie weitere Schutzprogramme sollten es gar nicht soweit kommen lassen, dass eine Rootkit-Installation buchstäblich in letzter Sekunde gestoppt werden muss.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
1448165
Content Management by InterRed