16.04.2009, 16:09

Frank Ziemann

Mebroot reloaded

Neues MBR-Rootkit gräbt sich noch tiefer ein

Erste Analysen einer kürzlich entdeckten neuen Version des MBR-Rootkits Mebroot zeigen, dass dessen Programmierer ihr Machwerk weiter verbessert haben. Es gräbt sich so tief im System ein, dass bislang kein Virenscanner in der Lage sein soll es zu entdecken.
MBR-Rootkit ist kaum zu finden

MBR-Rootkit ist kaum zu finden

Das als "Mebroot" bekannte Rootkit nistet sich nicht wie andere Rootkits als Systemtreiber in Windows ein. Es infiziert vielmehr den Master Boot Record (MBR) der Festplatte, wo es zur Laufzeit des Systems kaum zu entdecken ist. Eine neue Version dieses so genannten MBR-Rootkits bereits Antivirusfirmen weiteres Kopfzerbrechen. Sie gräbt sich noch tiefer ins System ein und tarnt sich so gut, dass selbst spezielle Anti-Rootkit-Tools versagen.
Dies meint jedenfalls Marco Giuliani vom britischen Sicherheitsunternehmen Prevx, der die neue Mebroot-Version analysiert und die ersten Ergebnisse im Blog des Unternehmens veröffentlicht hat. Mebroot infiziert nicht nur den MBR, es klinkt sich auch in grundlegende Funktionen des Windows-Kerns ein und manipuliert sie. Versucht ein Windows-Programm, etwa ein Virenscanner, auf den MBR zuzugreifen, präsentiert Mebroot einen perfekt sauberen Master Boot Record.
Der MBR der ersten Festplatte eines Rechners ist derjenige Bereich, auf den das BIOS des Computers nach dem Einschalten zuerst zugreift. Findet es dort eine gültige Startroutine, übergibt es die weitere Kontrolle an diese Routine. Die sollte nun eigentlich das Betriebssystem, meist Windows, starten. Mebroot jedoch manipuliert zunächst den Windows-Kern, bevor es ihn startet.
Damit behält Mebroot weiterhin die Kontrolle über den PC und kann Windows sowie unter Windows laufenden Programmen vorgaukeln, was immer die Mebroot-Programmierer wollen. Es kann zum Beispiel auch verhindern, dass bestimmte Dateien oder Registry-Einträge entdeckt werden können. Mebroot injiziert seinen Code beim Start in systemnahe Windowsprozesse, zum Beispiel in den Windows Service Host (svchost). Dadurch enthält keine Datei auf der Festplatte Teile des Rootkits.
Die einzige Ausnahme davon ist der Moment, in dem das Rootkit über manipulierte Web-Seiten eingeschleust und installiert wird. Dann sind kurzzeitig Dateien im TEMP-Verzeichnis sichtbar. Bis dahin sollte ein Virenscanner den Mebroot-Installer entdeckt und gestoppt haben. Danach wird es kaum noch möglich sein, den Schädling aufzuspüren. Selbst hoch entwickelte Anti-Rootkit-Tools wie GMER können die neue Mebroot-Version nach Angaben von Marco Giuliani derzeit nicht erkennen.
Jacques Erasmus, Forschungsleiter bei Prevx, geht davon aus, dass die neue Rootkit-Version bereits fleißig verbreitet wird. Sie ist nur entdeckt worden, weil der PC eines Prevx-Kunden damit infiziert wurde. Es seien bereits mehrere tausend Web-Server gehackt und manipuliert worden, um die neue Mebroot-Version zu verbreiten.
Umso wichtiger ist es, dass die Antivirushersteller die verschiedenen Mebroot-Installer erkennen und stoppen, bevor der Rechner infiziert wird. Später hilft wohl eine Antivirus-Boot-CD am besten, denn dann wird der Rechner mit einem Betriebssystem gestartet, das nicht unter der Kontrolle von Mebroot ist.
Die folgende Tabelle zeigt die Scan-Ergebnisse aktueller Antivirusprogramme für zwei der neuen Mebroot-Installer.
Antivirus Malware-Name (1) Malware-Name (2)
AntiVir BDS/Sinowal.DZ BDS/Sinowal.DY
Authentium ** --- ---
Avast! --- ---
AVG --- ---
Bitdefender Backdoor.Sinowal.CA Backdoor.Sinowal.CA
CA-AV --- ---
ClamAV --- ---
Dr Web Trojan.Packed.2447 Trojan.Packed.2447
Fortinet PossibleThreat PossibleThreat
F-Prot --- ---
F-Secure Trojan:W32/Mebroot.gen!A Trojan:W32/Mebroot.gen!A
G-Data AVK 2008 --- ---
G-Data AVK 2009 Backdoor.Sinowal.CA Backdoor.Sinowal.CA
Ikarus Backdoor.Sinowal Backdoor.Sinowal
K7 Computing --- ---
Kaspersky --- ---
McAfee --- ---
McAfee Artemis --- ---
McAfee GW Edition *** Trojan.Backdoor.Sinowal.DZ Trojan.Backdoor.Sinowal.DY
Microsoft --- ---
Nod32 Win32/Mebroot.BH trojan Win32/Mebroot.BH trojan
Norman --- ---
Panda --- Malicious Packer
Panda (Online) --- Malicious Packer
QuickHeal --- ---
Rising AV --- ---
Sophos Mal/UnkPack-Fam Mal/UnkPack-Fam
Spybot S&D --- ---
Sunbelt --- ---
Symantec --- --- (Trojan.Anserin) *
Trend Micro TROJ_SINOWAL.BU TROJ_SINOWAL.BU
VBA32 --- ---
VirusBuster Trojan.DR.Sinowal.Gen.11 ---
Quelle: AV-Test, Stand: 16.04.2009, 15:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** früher als "Command AV" aufgeführt
*** vormals SecureWeb-GW, Webwasher
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
152666
Content Management by InterRed