09.01.2008, 15:46

Frank Ziemann

MBR-Rootkit

Malware versteckt sich im Master Boot Record

Ein in freier Wildbahn entdecktes Rootkit nutzt den Startbereich der Festplatte als Versteck und installiert eine Hintertür zur Fernsteuerung des verseuchten Rechners.
Ein seit der Zeit von MSDOS scheinbar in Vergessenheit geratener Teil der Festplatte dient einer neu entdeckten Malware als Nest. Der Master Boot Record (MBR) der ersten Festplatte wird beim Start des Rechners geladen, noch vor dem Betriebssystem. Code, der Dort residiert, kann im Prinzip das Betriebssystem kontrollieren. Ein kürzlich entdecktes Rootkit nutzt ihn als Versteck. Offenbar hat sein Programmierer nun einen bereits bekannten Weg beschritten, auf dem der Schreibzugriff auf diesen Bereich auch unter aktuellen Windows-Versionen möglich ist.
Schon im Jahr 2005 hatte Derek Soeder von eEye Digital Security ein Konzept namens "BootRoot" vorgestellt, das ein Rootkit im MBR verankern kann. Ein auf dieser Idee basierendes Rootkit ist von unabhängigen Malware-Forschern in freier Wildbahn entdeckt worden, es wird also ganz real eingesetzt. Eine erste Analyse des Schädlings hat der Entwickler des Rootkit-Detektors "GMER" Anfang Januar veröffentlicht.
Windows-Versionen bis einschließlich XP erlauben das Überschreiben des MBR bei laufendem System. Erst Windows Vista enthält Vorkehrungen gegen solche Manipulationen, die zumindest teilweise wirksam sind. Das etwa bei Symantec als Trojan.Mebroot bezeichnete Rootkit funktioniert nur bei Windows XP, weil bestimmte Werte fest einprogrammiert sind.
Der Installer dieses Rootkits wird derzeit auf verschiedenen Websites mit Hilfe von Exploits altbekannter Sicherheitslücken verbreitet - ein Grund mehr regelmäßig Sicherheits-Updates für Windows und Anwendungen einzuspielen. Ist das Rootkit in den MBR geschrieben, installiert der Installer ein Trojanisches Pferd als mat<Zahl>.dll und registriert die DLL in Windows. Damit wird eine Hintertür ("Backdoor") ins System etabliert, über die ein Angreifer den Rechner manipulieren und steuern kann. Er zeigt schließlich eine Meldung an, die den Benutzer zum Neustart des Systems auffordert.
Das installierte Rootkit kann zum Beispiel mit GMER entdeckt werden. GMER untersucht dazu den Inhalt des MBR, den es auf zwei verschiedenen Wegen ausliest. Liefern beide den gleichen Inhalt, ist der MBR sauber - andernfalls ist er verseucht. GMER meldet dann "sektor00: MBR rootkit detected !!!".
Die Entfernung des MBR-Rootkits ist bei laufendem Windows nicht möglich. Sie gelingt jedoch recht einfach mit Bordmitteln von Windows. Dazu starten Sie den Rechner von der XP-Setup-CD und laden die Wiederherstellungskonsole. Mit dem Kommando "fixmbr" schreiben Sie dem MBR neu und der Schädling ist Geschichte. Dieses Prinzip kennen altgediente PC-Benutzer noch aus der MSDOS-Zeit, als so genannte Boot-Viren auf ähnliche Weise entfernt werden konnten.
Vorherige Seite
Seite 1 von 2
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
19940
Content Management by InterRed