152666

Neues MBR-Rootkit gräbt sich noch tiefer ein

16.04.2009 | 16:09 Uhr |

Erste Analysen einer kürzlich entdeckten neuen Version des MBR-Rootkits Mebroot zeigen, dass dessen Programmierer ihr Machwerk weiter verbessert haben. Es gräbt sich so tief im System ein, dass bislang kein Virenscanner in der Lage sein soll es zu entdecken.

Das als "Mebroot" bekannte Rootkit nistet sich nicht wie andere Rootkits als Systemtreiber in Windows ein. Es infiziert vielmehr den Master Boot Record (MBR) der Festplatte, wo es zur Laufzeit des Systems kaum zu entdecken ist. Eine neue Version dieses so genannten MBR-Rootkits bereits Antivirusfirmen weiteres Kopfzerbrechen. Sie gräbt sich noch tiefer ins System ein und tarnt sich so gut, dass selbst spezielle Anti-Rootkit-Tools versagen.

Dies meint jedenfalls Marco Giuliani vom britischen Sicherheitsunternehmen Prevx , der die neue Mebroot-Version analysiert und die ersten Ergebnisse im Blog des Unternehmens veröffentlicht hat. Mebroot infiziert nicht nur den MBR, es klinkt sich auch in grundlegende Funktionen des Windows-Kerns ein und manipuliert sie. Versucht ein Windows-Programm, etwa ein Virenscanner, auf den MBR zuzugreifen, präsentiert Mebroot einen perfekt sauberen Master Boot Record.

Der MBR der ersten Festplatte eines Rechners ist derjenige Bereich, auf den das BIOS des Computers nach dem Einschalten zuerst zugreift. Findet es dort eine gültige Startroutine, übergibt es die weitere Kontrolle an diese Routine. Die sollte nun eigentlich das Betriebssystem, meist Windows, starten. Mebroot jedoch manipuliert zunächst den Windows-Kern, bevor es ihn startet.

Damit behält Mebroot weiterhin die Kontrolle über den PC und kann Windows sowie unter Windows laufenden Programmen vorgaukeln, was immer die Mebroot-Programmierer wollen. Es kann zum Beispiel auch verhindern, dass bestimmte Dateien oder Registry-Einträge entdeckt werden können. Mebroot injiziert seinen Code beim Start in systemnahe Windowsprozesse, zum Beispiel in den Windows Service Host (svchost). Dadurch enthält keine Datei auf der Festplatte Teile des Rootkits.

Die einzige Ausnahme davon ist der Moment, in dem das Rootkit über manipulierte Web-Seiten eingeschleust und installiert wird. Dann sind kurzzeitig Dateien im TEMP-Verzeichnis sichtbar. Bis dahin sollte ein Virenscanner den Mebroot-Installer entdeckt und gestoppt haben. Danach wird es kaum noch möglich sein, den Schädling aufzuspüren. Selbst hoch entwickelte Anti-Rootkit-Tools wie GMER können die neue Mebroot-Version nach Angaben von Marco Giuliani derzeit nicht erkennen.

Jacques Erasmus, Forschungsleiter bei Prevx, geht davon aus, dass die neue Rootkit-Version bereits fleißig verbreitet wird. Sie ist nur entdeckt worden, weil der PC eines Prevx-Kunden damit infiziert wurde. Es seien bereits mehrere tausend Web-Server gehackt und manipuliert worden, um die neue Mebroot-Version zu verbreiten.

Umso wichtiger ist es, dass die Antivirushersteller die verschiedenen Mebroot-Installer erkennen und stoppen, bevor der Rechner infiziert wird. Später hilft wohl eine Antivirus-Boot-CD am besten, denn dann wird der Rechner mit einem Betriebssystem gestartet, das nicht unter der Kontrolle von Mebroot ist.

Die folgende Tabelle zeigt die Scan-Ergebnisse aktueller Antivirusprogramme für zwei der neuen Mebroot-Installer.

Antivirus

Malware-Name (1)

Malware-Name (2)

AntiVir

BDS/Sinowal.DZ

BDS/Sinowal.DY

Authentium **

---

---

Avast!

---

---

AVG

---

---

Bitdefender

Backdoor.Sinowal.CA

Backdoor.Sinowal.CA

CA-AV

---

---

ClamAV

---

---

Dr Web

Trojan.Packed.2447

Trojan.Packed.2447

Fortinet

PossibleThreat

PossibleThreat

F-Prot

---

---

F-Secure

Trojan:W32/Mebroot.gen!A

Trojan:W32/Mebroot.gen!A

G-Data AVK 2008

---

---

G-Data AVK 2009

Backdoor.Sinowal.CA

Backdoor.Sinowal.CA

Ikarus

Backdoor.Sinowal

Backdoor.Sinowal

K7 Computing

---

---

Kaspersky

---

---

McAfee

---

---

McAfee Artemis

---

---

McAfee GW Edition ***

Trojan.Backdoor.Sinowal.DZ

Trojan.Backdoor.Sinowal.DY

Microsoft

---

---

Nod32

Win32/Mebroot.BH trojan

Win32/Mebroot.BH trojan

Norman

---

---

Panda

---

Malicious Packer

Panda (Online)

---

Malicious Packer

QuickHeal

---

---

Rising AV

---

---

Sophos

Mal/UnkPack-Fam

Mal/UnkPack-Fam

Spybot S&D

---

---

Sunbelt

---

---

Symantec

---

--- (Trojan.Anserin) *

Trend Micro

TROJ_SINOWAL.BU

TROJ_SINOWAL.BU

VBA32

---

---

VirusBuster

Trojan.DR.Sinowal.Gen.11

---

Quelle: AV-Test , Stand: 16.04.2009, 15:30 Uhr

* noch nicht in offiziellen Virensignaturen enthalten
** früher als "Command AV" aufgeführt
*** vormals SecureWeb-GW, Webwasher

0 Kommentare zu diesem Artikel
152666