51666

MBR-Rootkit für Windows XP

03.03.2008 | 11:09 Uhr |

Neue Schädlinge nutzen einen alten Trick: Sie platzieren sich in den Startbereich von Festplatten.

Der Master Boot Record (MBR) einer Festplatte ist nach dem Verschwinden von MS-DOS und den Bootviren der 90er-Jahre fast in Vergessenheit geraten. Nun dient er aber wieder einer Malware als Nest. Der MBR der ersten Festplatte wird beim Start des Rechners geladen, noch vor dem Betriebssystem. Code, der dort residiert, kann im Prinzip das Betriebssystem kontrollieren. Ein kürzlich entdecktes Rootkit nutzt den MBR als Versteck. Das Konzept für solche Bootsektorviren auf NT-basiertem Windows hatte Derek Soeder von E-Eye Digital Security schon 2005 unter dem Namen Boot Root. Gut zwei Jahre später ist nun eine praktische Umsetzung vorhanden, die unter Windows XP funktioniert.
Unter Windows Vista kann sich das MBR-Rootkit nur einnisten, wenn die Benutzerkontensteuerung abgeschaltet ist. Außerdem soll der Code zum Suchen der zu patchenden Stelle im Kernel unter Vista fehlerhaft sein.
Zum Schreiben in den MBR sind Administratorrechte nötig. Der MBR-Code modifiziert den Windows-Kernel, so dass dieser den eigentlichen Rootkit-Treiber lädt. Ein MBR-Rootkit kann zwar mit Detektoren wie Gmer entdeckt, jedoch nicht bei laufendem Windows entfernt werden.
Im Falle des Falles hilft folgende Maßnahme: Der PC muss mit der Windows-Setup-CD gebootet werden. Dort lässt sich die Wiederherstellungskonsole und der Befehl „fixmbr“ anwenden. Dieser überschreibt dann den schädlichen Code mit einem neuen MBR.

0 Kommentare zu diesem Artikel
51666