Warnung: Neuartige Rootkits ersetzen Master Boot Record

[Captain]

In den Panda Security Laboren wurden neue Trojaner-Exemplare entdeckt und analysiert, die aufgrund der in Ihnen integrierten Rootkits in der Lage sind den Master Boot Record (MBR), also den ersten Datenblock in einer Festplatte, in infizierten Computern auszutauschen. Das ist eine neue, revolutionäre Eigenschaft von Rootkits, die eine Entdeckung der dazugehörigen Malware zusätzlich erschwert. Bis dato bekannte Rootkits installieren sich in Systemprozesse, während die neu entdeckten Rootkits sich auf einem Teil der Festplatte implementieren, der schon beim Bootvorgang – bevor das Betriebssystem gestartet ist – aktiv ist.

Hat sich ein solches Rootkit auf einem System installiert, erstellt es eine Kopie des vorhandenen MBR’s, verändert diesen, indem es schädliche Befehle einfügt und ersetzt den Original-MBR gegen den manipulierten. Bei einem Versuch auf den MBR zuzugreifen, leitet das Rootkit jedoch direkt auf den Original MBR um, so dass nichts Verdächtiges erkannt wird. Die durch das Rootkit getätigten Veränderungen bewirken, dass der manipulierte MBR schon beim Hochfahren eines Systems aktiviert ist und sowohl das Rootkit selber als auch die zugehörigen Schädlinge nicht auffindbar sind. Es verdeckt nicht nur – wie herkömmliche Rootkits – Erweiterungen oder Prozesse – , sondern trickst komplette Systeme aus. Es setzt sich dort fest, wo keine Unregelmäßigkeiten festgestellt werden, da es vom Datenspeicher aus alle Zugriffe auf die Festplatte überwacht.

„Diese Angriffsmethode macht es aktuell praktisch unmöglich, installierte Rootkits und die entsprechende Malware zu entdecken. Die einzig zuverlässige Verteidigung gegen solche Rootkits, ist die Prävention. Sie müssen erkannt und abgewehrt werden, noch bevor sie ins System eindringen. Proaktive Technologien, die auch unidentifizierte Schadprogramme aufspüren, sind dazu notwendig“, erklärt der Technische Direktor der PandaLabs, Luis Corrons.

Diese Rootkits können ebenso Linux Systeme infizieren. Besteht der Verdacht, dass ein solches Rootkit installiert ist, sollten betroffene Anwender ihre Rechner mit einer Boot-CD hochfahren, um den Master Boot Record zu umgehen. Um die schädliche Veränderung rückgängig zu machen, sollte der MBR anschließend mit dem systeminternen Tool fixmbr innerhalb der Windows Recovery Konsole zurückgesetzt werden.

[E-vil]

hast du schon ein Programm was das neue Rootkit entdeckt ???

[Captain]

Nein. Hab ich nicht.

[E-vil]

Weißt du wo man sich dieses Rootkit downloaden kann (will das aufm UraltRechner probiern)

[Captain]

Selbst wenn ich es wüsste würde ich das sicher nicht hier posten Sowas findet zuviele Nachahmer...

[E-vil]

kannst ja ma privat schicken...

[Rechtsteufel]

Weißt du wo man sich dieses Rootkit downloaden kann (will das aufm UraltRechner probiern)

Probieren? Ja, klar... Du hast damit ja keine bösen Absichten

[E-vil]

na dann schick ma privat die Site

[Captain]

Nene, ich informiere gerne darüber damit man sich schützen kann. Aber verschicken tu ich sowas nich.

[E-vil]

Ich will ja auch nur die Website haben^^ du schickst mir den Virus ja ne direkt ... außerdem wenn ich was über den Virus weiß kann ich euch auch einen Schutz empfehlen

[Jason]

Jaja, das kann ja jeder sagen

[E-vil]

NeNe is ernst ... hab mich immer schon für Viren interressiert und wie man sich schützt

[Captain]

Naja, also hier bekommst du das Rootkit sicher nicht...

[E-vil]

ja ach ne ooohhhhh

[Captain]

Gegen Rootkits empfehle ich:

Sophos Anti-Rootkit
http://www.sophos.de/products/free-tool ... otkit.html

Das ist immerhin kostenlos und macht einen ordentlichen Eindruck.