83304

Wiederholungstäter: Neues Sony-Rootkit entdeckt

28.08.2007 | 16:11 Uhr |

In der Treiber-Software für einen USB-Stick mit Fingerabdrucksensor hat der Antivirus-Hersteller F-Secure Rootkit-artige Funktionen entdeckt. Sie lassen sich auch durch Malware missbrauchen.

Eher zufällig haben die Malware-Forscher von F-Secure einen neuen Fall von Rootkit-Nutzung in einem Sony-Produkt entdeckt. Nach einem ersten Verdacht bestellten sie einige USB-Sticks mit Fingerabdrucksensor und installierten die zugehörige Software. Anschließend meldete F-Secure Blacklight, die hauseigene Anti-Rootkit-Software, versteckte Dateien auf der Festplatte.

Alle untersuchten USB-Sticks stammen von einem Hersteller: Sony. Es handelt sich um Geräte aus der "MicroVault"-Serie. Die zum Fingerabdrucksensor gehörende Software "Sony MicroVault USM-F" installiert einen Treiber, der ein Unterverzeichnis im Windows-Verzeichnis anlegt und versteckt. Es ist also im Windows Explorer oder anderen Dateimanagern nicht sichtbar. Den Verzeichnisnamen nennt F-Secure nicht.

Wer den Namen des Verzeichnisses kennt, kann allerdings auf der Kommandozeile neue Dateien in diesem Verzeichnis anlegen oder darin abgelegte Programme aufrufen. Für einige von F-Secure ebenfalls nicht näher benannte Antivirus-Programme bleibt dieses Verzeichnis unsichtbar, darin enthaltene Malware würde also nicht entdeckt. Somit wäre es für einen Angreifer möglich, seine Malware in diesem Ordner zu verstecken.

Nach Angaben von Mikko Hypponen, dem Forschungsleiter von F-Secure, handelt es sich nicht um eine Variante des Sony-BMG-Rootkits von 2005 . Vielmehr sehe es so aus, als hätten chinesische Programmierer diesen Treiber entwickelt. Sony betreibe keine eigene Entwicklung in diesem Bereich. Der Zweck der Rootkit-artigen Technik sei in diesem Fall durchaus legitim - es würden lediglich die Daten des Fingerabdrucksensors versteckt, damit der Schutz nicht umgangen werden könne.

Die fraglichen USB-Sticks werden nach Angaben von F-Secure inzwischen nicht mehr hergestellt, sollen jedoch noch im Handel zu finden sein. F-Secure habe auch bereits vor einem Monat versucht Kontakt mit Sony aufzunehmen, jedoch bislang keine Antwort erhalten. Nach der Veröffentlichung im Weblog von F-Secure wird Sony wohl reagieren müssen.

0 Kommentare zu diesem Artikel
83304