101290

Mydoom-Wurm mit neuartigem Rootkit

24.03.2006 | 15:25 Uhr |

Das Kernel-Rootkit kommt ohne Treiber aus.

Der Programm-Code des Mydoom-Wurms dient schon seit einiger Zeit als Basis für weitere Würmer, zum Beispiel für die Mytob-Familie. Der finnische Antivirus-Hersteller F-Secure berichtet nun über einen neu entdeckten Wurm namens "Gurong.a", der eine bisher noch nicht beobachtete Rootkit-Technik einsetzt und aus Russland stammen soll.

Die Verbreitung von Gurong.a erfolgt per Mail und über das P2P-Netzwerk von Kazaa. Die Mails tragen einen unauffälligen Betreff wie etwa "Greetings!", "Hello friend ;)", "Hey dear!" oder "Re: Hello". Die Dateinamen der Mail-Anhänge reichen von "body.bat" über "document.pif" bis "sex_pics.scr". Über Kazaa verbreitet sich Gurong mit Dateinamen wie zum Beispiel "0day_patch.exe", "skype_video.scr" oder "xp_activation.pif".

Wird der Wurm ausgeführt, kopiert er sich zunächst als "wmedia16.exe" in das System-Verzeichnis von Windows. Er legt dann einen Registry-Eintrag an, damit diese Datei bei jedem Start von Windows ausgeführt wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WMedia16 = %System%\wmedia16.exe

Dabei steht %System% für das System-Verzeichnis, also etwa "C:\Windows\System32". Die von Gurong.a verwendete Rootkit-Technik benutzt ein so genanntes "Call Gate", um Befehle aus dem Adressbereich des angemeldeten Benutzers in den Kernel von Windows zu senden. Dadurch kann Gurong.a Dateien, Prozesse und Registry-Einträge verbergen ohne einen speziellen Treiber zu installieren, wie dies andere Kernel-Rootkits tun.

Ein Call Gate ist ein spezieller Mechanismus in x86-Prozessoren, der es erlaubt vordefinierte Befehle mit Systemrechten auszuführen. So ist der Programm-Code zum Verstecken von Dateien und Prozessen Teil des mit den Rechten des Benutzers laufenden Programms wmedia16.exe. Er kann jedoch mit Systemrechten Objektstrukturen manipulieren und Zeiger umbiegen, ohne dass der Benutzer die Rechte eines Administrators haben muss.

Nach Angaben von F-Secure ist Gurong.a in freier Wildbahn gesichtet worden, verbreitet sich jedoch eher langsam. F-Secures Rootkit-Detektor " Blacklight " soll Gurong.a entdecken und entfernen können.

0 Kommentare zu diesem Artikel
101290