Erstes Bootsektor-Rootkit im Umlauf

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34735
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Erstes Bootsektor-Rootkit im Umlauf

Beitrag von doelf » 09 Jan 2008, 13:29

Zu DOS-Zeiten waren Viren weit verbreitet, welche sich im Bootsektor der Festplatte einnisten. Dies hatte ein Ende als Windows NT und seine Nachfolger 2000, XP und Vista auf den Markt kamen. Dass man auch diese Betriebssysteme sehr wohl über Bootsektor-Viren angreifen kann, demonstrieten im Jahr 2005 Derek Soeder und Ryan Permeh von eEye Digital Security in Form des eEye BootRoot. Da es sich bei eEye BootRoot lediglich um die Demonstration einer Schachstelle handelt, wird der Inhalt der betroffenen Sektoren nicht versteckt. Doch weil Microsoft es in den letzten zwei Jahren verpasst hat, Strategien zum Schutz des Bootsektors umzusetzen, wurde nun das erste vollständige Bootsektor-Rootkit mit Trankappe entdeckt.

Seit Ende 2007 scheint sich der neue Virus über zumeist italienische Webseiten zu verbreiten, es werden hierbei bekannte Schwachstellen in Webbrowsern ausgenutzt. Ein Bootsektor-Rootkit bietet einem Angreifer den Vorteil, die volle Kontrolle über das System bereits vor dem Start des Betriebssystems zu erlangen. Es wird keine Datei und ein Eintrag in der Registry benötigt, um den Virus beim Systemstart zu laden und der Virus muss nur einige Sektoren verstecken, um nicht gefunden zu werden.

Die Schwachstelle der Windows-Betriebssysteme, welche den Angriff überhaupt ermöglicht, besteht darin, dass der Master Boot Record (MBR) aus dem Sicherheitskontext des Benutzers heraus modifiziert werden kann. Die Installationsroutine des Virus schreibt zunächst einen Kernel-Treiber in die letzten Sektoren der Festplatte, danach modifiziert sie die Sektoren 0 (läd das Rootkit), 60, 61 (Kernel-Bestandteil der Laderoutine) und 62 (Kopie des ursprünglichen MBR). Der Programmierer hat anscheinend eEye BootRoot als Vorlage verwendet, modifiziert jedoch statt des NDIS-Treibers den Kernel von Windows. Wird der Inhalt des Sektors 0 von einer Anti-Viren-Software über die Windows API geprüft, lenkt das Rootkit diese Abfrage auf den Sektor 62 um, in welchem sich die Kopie des ursprünglichen MBR befindet. Um das Rootkit aufzuspüren, muss daher der Inhalt des Sektors 0 einmal über die API und ein zweites Mal direkt ausgelesen werden. Erhält man unterschiedliche Ergebnisse, ist die Festplatte infiziert.

Zur Entfernung des Virus kann man schlicht und einfach einen neuen MBR schreiben. Dies funktioniert über die Reparaturkonsole von Windows mit dem Befehl fixmbr.

Quelle:
http://www2.gmer.net/mbr/

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8652
Registriert: 17 Feb 2004, 07:12

Re: Erstes Bootsektor-Rootkit im Umlauf

Beitrag von The Grinch » 09 Jan 2008, 14:22

doelf hat geschrieben:Seit Ende 2007 scheint sich der neue Virus über zumeist italienische Webseiten zu verbreiten,
Die Italiener haben aber auch aktuell mit viel "Müll" zu kämpfen 8)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34735
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Erstes Bootsektor-Rootkit im Umlauf

Beitrag von doelf » 09 Jan 2008, 16:13

Dasse isse Schulde diee Maffia. Diee gedachte Bootsektore seie gute umme wasse zu schmuggeln.

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8652
Registriert: 17 Feb 2004, 07:12

Re: Erstes Bootsektor-Rootkit im Umlauf

Beitrag von The Grinch » 09 Jan 2008, 17:55

doelf hat geschrieben:Dasse isse Schulde diee Maffia. Diee gedachte Bootsektore seie gute umme wasse zu schmuggeln.
Und isse Schuld von Mull in sud Italia von Camorra, und kommen Afrikans per Boot uber Mare-Mediterana wasse isse gleich Virus :mrgreen:

Antworten