70880

Bootkits – die Herausforderung des Jahres 2008

19.12.2008 | 15:05 Uhr |

Nach dem Besuch einer harmlos erscheinenden Website startet unvermittelt der Rechner neu. Dieses seit einiger Zeit vermehrt auftretende Phänomen haben Malware-Spezialisten analysiert und so genannte Bootkits als Ursache ausgemacht.

Der Besuch legitimer Web-Seiten kann manchmal unerfreuliche und unerwartete Nebenwirkungen mit sich bringen. Ohne dass dies erkennbar wäre, kann eine ehemals harmlose Seite so manipuliert worden sein, dass sie die Rechner der Besucher unbemerkt mit Malware verseucht. Die Methode wird als "Drive-by Download" bezeichnet. Eine besonders fiese Spezies, die auf diesem Wege verbreitet wird, sind die so genannten "Bootkits" - Schädlinge, die sich im Boot-Sektor der Festplatte einnisten.

Die Malware-Spezialisten Sergej Golovanov, Alexander Gostev und Alexey Monastyrsky vom russischen Antivirushersteller Kaspersky Lab haben eine Analyse dieser relativ neuen Malware-Gattung erstellt und jetzt veröffentlicht. Darin gehen sie sowohl auf die Verbreitungsmethode ein als auch auf die weiteren Folgen.

Die einzelnen Aspekte, die ein Bootkit ausmachen, sind für sich genommen gar nicht so neu. Viren, die den Boot-Sektor einer Festplatte (oder Diskette) infizieren, gibt es schon seit etwa 20 Jahren. Botnetze sind verglichen damit noch recht jung, inzwischen aber auch keine Neuigkeit mehr. Auch Drive-by Downloads auf gehackten Web-Servern sind seit einiger Zeit Standard in der Malware-Szene. Die Art und Weise, wie diese Malware-Downloads umgesetzt werden, ist allerdings recht originell.

Statt wie sonst üblich Iframes oder Javascript-Code in fremde Seiten einzufügen, verändern die Täter bestehende Links, indem sie das Link-Ziel manipulieren ohne den Link-Text zu ändern. Ein potenzielles Opfer muss also einen solchen Link anklicken, um den Angriff auszulösen. Das weitere Verfahren ähnelt dann dem üblichen Prozedere: es wird Script-Code aufgerufen, der ein Exploit-Kit wie "Neosploit" steuert. Dieses prüft, ob der Rechner für einen der vorgefertigten Angriffstypen anfällig ist - etwa eine Sicherheitslücke in einem Browser-Plugin.

Im Erfolgsfall wird ein Trojanisches Pferd eingeschleust, das weitere Malware nachlädt. Diese infiziert den Boot-Sektor der Festplatte. Dadurch soll der Schädling ab dem nächsten Neustart, den er gleich veranlasst, die Kontrolle über das System erlangen, noch bevor das Betriebssystem aktiv wird und einen Virenscanner laden kann. In der Folge dient der Rechner als fremdgesteuerte Spam-Schleuder, als Web-Server für Phishing-Seiten oder auch zur Verbreitung von Malware. Kurz gesagt ist er Teil eines Botnetz geworden - mit allen bekannten Folgen.

Lesen Sie die komplette und recht interessante Analyse in der deutschen Übersetzung auf Kasperskys Website Viruslist.com .

0 Kommentare zu diesem Artikel
70880