|
Rootkits ersetzen Master Boot Record
Veröffentlicht am Freitag, 11.Januar 2008 von Redaktion
In den Panda Security Laboren wurden neue Trojaner-Exemplare entdeckt und analysiert, die aufgrund der in Ihnen integrierten Rootkits in der Lage sind den Master Boot Record (MBR), also den ersten Datenblock in einer Festplatte, in infizierten Computern auszutauschen. Das ist eine neue, revolutionäre Eigenschaft von Rootkits, die eine Entdeckung der dazugehörigen Malware zusätzlich erschwert. Bis dato bekannte Rootkits installieren sich in Systemprozesse, während die neu entdeckten Rootkits sich auf einem Teil der Festplatte implementieren, der schon beim Bootvorgang - bevor das Betriebssystem gestartet ist - aktiv ist.
Hat sich ein solches Rootkit auf einem System installiert, erstellt es eine Kopie
des vorhandenen MBR's, verändert diesen, indem es schädliche Befehle
einfügt und ersetzt den Original-MBR gegen den manipulierten. Bei einem Versuch
auf den MBR zuzugreifen, leitet das Rootkit jedoch direkt auf den Original MBR
um, so dass nichts Verdächtiges erkannt wird. Die durch das Rootkit getätigten
Veränderungen bewirken, dass der manipulierte MBR schon beim Hochfahren eines
Systems aktiviert ist und sowohl das Rootkit selber als auch die zugehörigen
Schädlinge nicht auffindbar sind. Es verdeckt nicht nur - wie herkömmliche
Rootkits - Erweiterungen oder Prozesse - , sondern trickst komplette Systeme aus.
Es setzt sich dort fest, wo keine Unregelmäßigkeiten festgestellt werden,
da es vom Datenspeicher aus alle Zugriffe auf die Festplatte überwacht.
"Diese Angriffsmethode macht es aktuell praktisch unmöglich, installierte
Rootkits und die entsprechende Malware zu entdecken. Die einzig zuverlässige
Verteidigung gegen solche Rootkits, ist die Prävention. Sie müssen
erkannt und abgewehrt werden, noch bevor sie ins System eindringen. Proaktive
Technologien, die auch unidentifizierte Schadprogramme aufspüren, sind
dazu notwendig", erklärt der Technische Direktor der PandaLabs, Luis
Corrons.
Diese Rootkits können ebenso Linux Systeme infizieren. Besteht der Verdacht,
dass ein solches Rootkit installiert ist, sollten betroffene Anwender ihre Rechner
mit einer Boot-CD hochfahren, um den Master Boot Record zu umgehen. Um die schädliche
Veränderung rückgängig zu machen, sollte der MBR anschließend
mit dem systeminternen Tool fixmbr innerhalb der Windows Recovery Konsole zurückgesetzt
werden.
letzten News
DSGVO Besonnenheit statt Panik
Schaedlinge im Netz So wird trotzdem sicher gesurft
Gefahren aus dem Internet erkennen und vorbeugen
Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
Kommentar:
|
| |
|