Tarnkappen-Evolution
Neue Varianten des MBR-Rootkits
Die Tarnkappenfunktion des so genannten MBR-Rootkits wird immer raffinierter. Mit neuen Tricks soll die Entdeckung durch Antivirus-Programme verhindert werden. Das Katz-und-Maus-Spiel geht in die nächste Runde.
Mehrere Antivirus-Hersteller melden das Auftauchen neuer Varianten des Anfang dieses Jahres entdeckten MBR-Rootkits. Neue Tricks sollen verhindern, dass Virenscanner die Malware-Tarnkappe entdecken und lüften. Der Schädling verbirgt sich im Master Boot Record (MBR) der Festplatte und kann somit das Betriebssystem zwingen manipulierte Treiber zu laden. Die neuen Varianten überwachen sich zudem selbst und installieren sich neu, wenn sie entfernt werden.
Aditya Kapoor berichtet im Blog der McAfee Avert Labs über die neuen Tricks des MBR-Rootkits. Demnach klinkt sich das bei McAfee als "StealthMBR" bezeichnete Rootkit in Systemfunktionen ein, um Lese- und Schreibzugriffe auf den Master Boot Record zu unterbinden. Ferner manipuliert es Werte im Treiber classpnp.sys, um Anti-Rootkit-Tools zu täuschen.
Eine Überwachungsroutine stellt einen "Plan B" sicher, falls das Rootkit enttarnt und deinstalliert wird. Sie schreibt alle Änderungen, die das Rootkit ursprünglich vorgenommen hatte, erneut auf die Festplatte. Die Funktion für den Schreibzugriff auf den MBR ist grundlegend überarbeitet worden.
Auch Edward Sun von Trend Micro hat sich mit der neuen Variante des MBR-Rootkits befasst und seine Erkenntnisse im Malware Blog des Antivirus-Herstellers veröffentlicht. Beide Unternehmen haben ihre Erkennungsroutinen bereits angepasst, um das Rootkit aufzuspüren. Das Anti-Rootkit-Tool GMER ist hingegen noch nicht dazu in der Lage, denn eine aktualisierte Version ist noch nicht verfügbar.
