Thema: Windows Rootkits

[SiLæncer]

Die meisten Rootkits gelangen mit heimlich installierter Spyware auf den Rechner.

Microsofts kleine Wurm-Kur (MRT, Malicious Software Removal Tool) erkennt und entfernt auch einige verbreitete Rootkits. Das monatlich über Windows-Update aktualisierte Programm liefert auch statistische Daten über entdeckte und entfernte Schädlinge. Diese Zahlen besagen, dass auf jedem fünften untersuchten PC mit Windows XP ein Rootkit gefunden wurde.

Rootkits dienen dazu, die eigentlichen Schädlinge, etwa Trojanische Pferde, zu verbergen. Sie klinken sich tief in das System ein und manipulieren die Informationen, die Windows über die auf der Festplatte gespeicherten Dateien liefert. Somit werden die eigentlichen Schädlinge praktisch unsichtbar, auch für die meisten heutigen Virenscanner.

Nach Angaben von Microsoft findet das MRT immer wieder vor allem die Rootkit-Familien "FU", " WinNT/Ispro " und "Hacker Defender" ( Win32/HackDef ). Ispro-Rootkits wurden in diesem Jahr auf etwa der Hälfte aller untersuchten PCs gefunden, auf denen Windows XP ohne Service Pack installiert war. Bei Rechnern mit Windows XP und Service Pack 1 oder 2 waren es immerhin noch 20 Prozent. Für die als Open Source erhältlichen FU-Rootkits ergeben sich ähnliche Zahlen, Hacker Defender rangiert mit einigem Abstand dahinter. Hacker Defender wird auch in einer kommerziellen Version über das Internet vertrieben ( wir berichteten ).

Microsofts Wurm-Kur soll ab 13. Dezember auch den Rootkit-ähnlichen Teil von Sonys Kopierschutzsoftware XCP erkennen und entfernen können. Die aktuelle Beta-Version von Microsoft Antispyware (künftig: " Windows Defender ") kann das bereits.

Quelle : www.pcwelt.de

[SiLæncer]

Je nach Art der zu verbergenden Programme kommen unterschiedliche Rootkits zum Einsatz.

Die recht weite Verbreitung von diversen Rootkits auf Windows-PCs ist vor allem auf Adware und Spyware zurückzuführen. Zu diesem Schluss kommen die Virenforscher von F-Secure die in erster Linie ein bestimmtes Unternehmen ausgemacht haben, das massiv auf Rootkits zur Tarnung von Spyware setzt.

Nach Meinung der Fachleute von F-Secure ist Contextplus, Hersteller der Adware-Programme "Apropos" und "People on Page" für eine erhebliche Zahl von Infektionen mit Rootkits verantwortlich zu machen. Apropos sammelt Daten über das Web-Verhalten des Anwenders und sendet diese zusammen mit Systeminformationen an den Hersteller. Dieser benutzt die Daten zur Einblendung vermeintlich passender Werbe-Pop-ups.

Die Existenz der Software auf einem PC ist durch die Werbefenster offensichtlich, die Rootkit-Technik dient jedoch dazu, Programmdateien und Registry-Einträge zu verstecken, sodass die unerwünschte Software nur schwer wieder zu entfernen ist.

Programmierer von Würmern und Trojanischen Pferden hingegen wollen die Existenz ihrer Programme auf einem infizierten Rechner möglichst verbergen. Sie setzen häufig das als Open Source erhältlich "FU"-Rootkit ein, dessen Code recht einfach in einen Schädling integriert werden kann. FU-Rootkits können allerdings lediglich laufende Prozesse vor dem Windows Taskmanager verstecken. Offenbar, so vermuten die Virenforscher, setzen die Programmierer dieser Schädlinge darauf, dass die meisten Anwender ohnehin nicht wissen, welche Dateien in das System32-Verzeichnis gehören und welche nicht.

F-Secure bestätigt im Wesentlichen die Angaben von Microsoft über die Verbreitung bestimmter Rootkits . Die Rootkits vom Typ "Hacker Defender" werden gerne zur Tarnung von Trojanischen Pferden eingesetzt, die dem Aufbau von Botnets dienen. Zudem finden sie sich häufiger auf kompromittierten Firmen-Servern und tarnen dort speziellere Spionage-Programme.

Die Rootkit-Software aus Sonys XCP-Kopierschutz ist nach Angabe von F-Secure nicht so sehr verbreitet wie allgemein angenommen wird. F-Secure Blacklight (http://www.f-secure.com/blacklight/), der bislang einzige Rootkit-Detektor eines Antivirus-Herstellers, findet dieses Rootkit eher selten auf Windows-Rechnern vor.

Quelle : www.pcwelt.de

[SiLæncer]

Schadsoftware wurde 2005 deutlich raffinierter. Das zeigt vor allem der Einsatz von Windows-Rootkit-Techniken in Viren, Würmern, Spy- und Adware. Deshalb wird es immer wichtiger, diese Gefahr zu verstehen und zu wissen, wie man ihr begegnen kann.

Der erste Artikel dieses Dreiteilers erklärt, was Rootkits sind und was sie so gefährlich macht. Wir betrachten verschiedene Arten, den Code zur Ausführung zu bringen und wie dieser dann mit dem Kernel interagiert: indem man Tabelleneinträge verbiegt (Table Hooking), Filter-Treiber installiert oder direkt Kernel-Objekte manipuliert. Der zweite Teil wird sich mit der neuesten Windows-Rootkit-Technik beschäftigen, die Zugriffe auf virtuellen Speicher kontrolliert und damit sehr verdeckt arbeitet. Der dritte und letzte Artikel diskutiert dann verschiedene Methoden, Rootkits aufzuspüren und sich davor zu schützen.

Definition

Ein Rootkit ist ein Programm oder ein Paket von Programmen, das ein Einbrecher benutzt, um seine Anwesenheit auf einem Computer zu verbergen, und das ihm auch zukünftig Zugriff auf das System gewährt. Dazu ändert das Rootkit interne Abläufe des Betriebssystems oder es manipuliert Datenstrukturen, auf die sich das Betriebssystem beim Verwalten und Überprüfen verlässt.

Ein Rootkit ist kein Exploit sondern das, was ein Angreifer einsetzt, nachdem er eine Schwachstelle mit einem Exploit ausgenutzt hat. Es ist daher in vieler Hinsicht interessanter als ein Exploit, selbst als ein sogenannter Zero-Day-Exploit, der erscheint, bevor ein Patch verfügbar ist. Die meisten Anwender haben widerstrebend die Tatsache akzeptiert, dass kontinuierlich weitere Sicherheitslücken in Computersystemen entdeckt werden. Während ein Zero-Day-Exploit nur eine Kugel ist, kann ein Rootkit viel über den Angreifer verraten – zum Beispiel warum er damit geschossen hat. Indem wir analysieren, was ein Rootkit macht, können wir erforschen, was der Angreifer stehlen will, mit wem er kommuniziert und wie raffiniert er dabei vorgeht. Doch bevor wir uns mit dem "warum" beschäftigen, ist das "wie" an der Reihe.

Privilegien

Beim Design von Windows wurden Aspekte wie Sicherheit und Stabilität berücksichtigt. Der Kern muss vor Anwenderprogrammen geschützt sein, aber diese Anwenderprogramme benötigen bestimmte Funktionen des Kernels. Um das zu gewährleisten, implementiert Windows zwei Modi, in denen Code ausgeführt werden kann: den User-Mode und den Kernel-Mode. Windows kennt nur diese zwei, obwohl Intel- und AMD-CPUs eigentlich vier Privilegienstufen oder Ringe unterstützen, um Systemcode und -daten davor zu schützen, dass Code einer niedrigeren Stufe sie absichtlich oder versehentlich überschreibt.

Applikationen laufen im User-Mode und User-Mode-Prozesse sind unprivilegiert. Der Kernel-Mode bezeichnet einen Ausführungsmodus, in dem der Prozessor Zugriff auf den gesamten Systemspeicher und alle Prozessorbefehle gewährt. Systemdienste aus der System Service Descriptor Table (SSDT) laufen beispielsweise im Kernel-Mode. Auch Gerätetreiber von Drittherstellern laufen im Kernel-Mode, weil sie auf Low-Level-Kernel-Funktionen und -Strukturen zugreifen und in vielen Fällen direkt mit Hardware kommunizieren müssen.

Windows legt zwar fest, welche Privilegien erforderlich sind, um auf Speicherseiten zuzugreifen, aber es schützt Kernel-Speicher nicht vor anderen Threads, die im Kernel-Mode laufen.

Bei der Betrachtung von Windows-Rootkits fällt schnell auf, dass sie sich entsprechend den Privileg-Stufen in zwei Kategorien einteilen lassen: User-Mode und Kernel-Mode. User-Mode-Rootkits laufen als separate Applikation oder innerhalb einer existierenden Applikation. Ein Kernel-Mode-Rootkit hat alle Befugnisse des Betriebssystems und korrumpiert damit das gesamte System.

Mehr

Quelle : www.heise.de

[SiLæncer]

In der Security-Gemeinde flammt eine Auseinandersetzung auf, ob Software Rootkit-Techniken einsetzen darf. Im Gefolge der Auseinandersetzungen um den XCP-Kopierschutz von Sony BMG werden immer mehr Applikationen bekannt, die Rootkit-ähnliche Techniken einsetzen, um Informationen vor dem Anwender zu verbergen. So hatte Symantec bei SystemWorks ein Verzeichnis mit Sicherheitskopien vor dem Zugriff über Systemfunktionen versteckt. Ähnlich wie bei Sony-BMG konnten auch hier Schädlinge dieses Loch ausnutzen, um Antiviren-Software auszutricksen, sodass Symantec diese Funktion aus Sicherheitsgründen entfernt hat.

Weniger eindeutig ist der Fall beim neuesten Beschuldigten, dem AV-Hersteller Kaspersky. Dieser blendet spezielle ADS-Streams mit Prüfsummen aus, ohne dass nach bisherigem Kenntnissstand damit ein konkretes Sicherheitsproblem entstünde. Deshalb beharrt Kaspersky nicht nur darauf, dass der Einsatz dieser Technik legitim sei, sondern auch, dass es falsch sei, sie als Rootkit zu bezeichnen.

Daran zeigt sich schon, dass sich die Kontrahenten nicht einmal auf eine gemeinsame Definition des Begriffs Rootkit einigen können. Viele Experten verwenden ihn weitgehend wertfrei und heben darauf ab, dass ein Rootkit Informationen vor anderen Programmen und dem Betriebssystem versteckt. Andere beziehen die (böswillige) Absicht beziehungsweise ein mit der Software verbundenes Sicherheitsrisiko in die Definition mit ein. Angesichts des negativen Beiklangs des Begriffs in der Öffentlichkeit, die damit Einbrüche in Computer und Schadsoftware assoziiert, wollen Software-Hersteller ihre Produkte natürlich nicht mit diesem Ettiket brandmarken lassen und weisen Vorwürfe, sie würden Rootkit-Techniken einsetzen, weit von sich.

Aber auch darüber, was Software darf, besteht keine Einigkeit. Der renommierte Windows-Experte Mark Russinovich vertritt die Ansicht, dass es überhaupt keinen legitimen Grund für den Einsatz von Rootkit-Techniken gebe. Wann immer ein Software-Entwickler glaube, dass ein Rootkit notwendiger Bestandteil seiner Architektur sei, solle er seine Architektur ändern. Derartige Tarnkappen würden die Administration und Wartung eines Systems erschweren oder gar unmöglich machen.

Eine Gegenposition vertritt unter anderem Sicherheitsexperte Greg Hoglund, Autor des ersten Windows-Rootkits. Um beispielsweise einen manipulationssicheren Container in Software zu realisieren, komme man um den Einsatz von Rootkit-Techniken nicht umhin, da dies die stärkste verfügbare Technik zum Schutz von Software sei, argumentiert er. Auch Eugene Kaspersky hält es für grundsätzlich legitim, beispielsweise Dateien zu verstecken, da ohnehin niemand alles wisse, was sich auf seinem System befindet.

Dass sich in der Tat auch die IT-Welt nicht so einfach in Schwarz und Weiß aufteilen lässt, illustriert der inoffizielle WMF-Patch. Er klinkt sich ins System ein, um spezielle API-Aufrufe abzufangen und zu filtern – genau wie es auch viele Rootkits tun. Streng genommen müssten auch Sicherheitserweiterungen für Linux wie Systrace oder AppArmor unter Russinovichs Rootkit-Verdikt fallen.

Die Techniken moderner Rootkits stellt der erste Teil einer Artikelserie zu Windows Rootkits 2005 auf heise Security vor. Die Frage, ob es legitime Einsatzgebiete für Rootkit-Techniken gibt, diskutiert auch der aktuelle Kommentar: Der Patch heiligt die Mittel.

Quelle und Links : http://www.heise.de/security/news/meldung/68432

[SiLæncer]

Der erste Artikel dieser Serie beschäftigte sich mit aktuellen Rootkit-Techniken. Dieser Teil geht einen Schritt weiter und konzentriert sich auf kommende, innovative Techniken. Der dritte und letzte Artikel dreht sich um verschiedene Methoden, Rootkits aufzuspüren, und den vorbeugenden Schutz.

Die in diesem Artikel vorgestellten Methoden präsentierten wir in unserer Konzeptstudie Shadow Walker auf der Black Hat 2005. Sie ermöglichen es einem Angreifer, sowohl bekannten als auch unbekannten Schadcode vor einem Security-Scanner zu verstecken, indem sie dessen Speicherzugriffe auf Hardware-Ebene kontrollieren. Die Implikationen sind umso alarmierender, weil diese Technik nicht auf Rootkits beschränkt ist, sondern für alle Formen von Schadsoftware von Würmern bis hin zu Spyware anwendbar ist.

Persistente versus speicherbasierte Rootkits

Verallgemeinert gibt es zwei Typen von Rootkits: persistente Rootkits und speicherbasierte. Der primäre Unterschied ist die Lebensdauer des Rootkits auf einer infizierten Maschine. Persistente Rootkits überleben einen Neustart des Systems, während speicherbasierte dies nicht tun. Um einen Neustart zu überstehen, müssen zwei Voraussetzungen erfüllt sein. Erstens muss das Rootkit seinen Code irgendwo auf dem System permanent speichern können -- etwa auf der Festplatte. Zweitens muss es sich so in die Boot-Sequenz des Systems einklinken, dass es von der Platte geladen und ausgeführt wird.

Anders als persistente Rootkits versuchen das die speicherbasierten gar nicht erst. Ihr Code existiert nur im flüchtigen Speicher und sie können verdeckt durch einen Exploit installiert werden. So agieren sie heimlicher als ihre persistenten Geschwister und sind mit forensischen Methoden schwerer aufzuspüren. Auch wenn ihre Unfähigkeit, einen Neustart zu überleben, ihre Nützlichkeit stark einschränkt, bleiben doch Server-Systeme oft für Tage, Wochen oder Monate online. Und in der Praxis kann es dem Angreifer wichtiger sein, nicht aufgespürt werden zu können, als auszuschließen, dass er ein infiziertes System verliert.

Ein Rootkit verstecken

Rootkit-Autoren haben eine Reihe raffinierter Methoden entwickelt, die Anwesenheit ihres Rootkits auf einem System zu verbergen. Sie reichen von diversen Hooking-Tricks bis hin zur direkten Manipulation von Kernel-Objekten (DKOM). Doch auch die ausgefeiltesten Rootkits wie FU haben ein inhärentes Problem [1]. Sie sind zwar Meister darin, den Ausführunsgsablauf zu kontrollieren, aber sie weisen bisher kaum Fähigkeiten auf, zu kontrollieren, wie Applikationen den Speicher sehen. Somit müssen solche Rootkits zwei Dinge gewährleisten, wenn sie unbemerkt bleiben wollen: Sie müssen ihren eigenen ausführbaren Code verstecken und die von ihnen durchgeführten Veränderungen im Speicher verbergen – also beispielsweise die Hooks.

Ohne diese Fähigkeiten sind auch die ausgefeiltesten, veröffentlichten Kernel-Rootkits "stehende Ziele" für primitive Signatur-Scans im Speicher wie sie Antiviren-Programme seit 20 Jahren einsetzen. Darüber hinaus müssen persistente Rootkits ihren Code auf dem nichtflüchtigen Speichermedium und auch den Eintrag in der Boot-Sequenz des Systems verstecken. In diesem Artikel beschäftigen wir uns mit den ersten beiden Aspekten und ignorieren den dritten, was faktisch die Diskussion auf speicherbasierte Rootkits begrenzt.

Das Problem, Code und/oder Änderungen im Speicher zu verstecken, erinnert daran, wie die ersten Virenschreiber versuchten, ihren Code im Dateisystem zu verstecken. Sie reagierten auf die ersten signaturbasierten Virenscanner, indem sie polymorphe und metamorphe Viren entwickelten. Polymorphismus versucht das äußerliche Erscheinungsbild eines Code-Blocks zu modifizieren, ohne seine Funktion zu ändern. Als einfaches Analogon kann man Synonyme betrachten -- also verschiedene Wörter mit exakt der gleichen Bedeutung. Ein polymorpher Virus ersetzt Befehle (Wörter) durch andere Opcodes (Synonymen), die exakt die gleiche Funktion haben. Damit ändert sich das "Aussehen" des Virus und er ist immun gegen einfache musterbasierte Erkennung.

Nur sehr wenige veröffentlichte Rootkits haben nennenswerte Anstrengungen unternommen, polymorphe Techniken der Viren einzubauen. Obwohl Polymorphismus durchaus effektiv sein kann, um Code vor Signatur-Scans zu verbergen, hilft er wenig, um die Änderungen zu verbergen, die ein Rootkit an existierendem Binärcode in anderen Systemkomponenten vornimmt. Anders gesagt bleiben gekaperte Systemkomponenten anfällig für Integritäts-Checks im Speicher. Eine bessere Lösung ist es folglich, nicht den Rootkit-Code selbst zu ändern, sondern das, was andere Systemkomponenten von ihm "sehen".

In den folgenden Absätzen zeigen wir, wie die aktuelle Architektur es erlaubt, die virtuelle Speicherverwaltung so zu unterwandern, dass ein nicht-polymorphes Kernel-Mode-Rootkit die lesenden Speicherzugriffe des Betriebssystems und anderer Prozesse kontrollieren kann. Zunächst liefern wir dazu einen Überblick über die Architektur des virtuellen Speichers. Danach schildern wir, wie die Konzeptstudie Shadow Walker das Speichersubssystem unterwandert, um ausgeführten Code vor einem Security-Scanner zu verbergen. Und schließlich diskutieren wir die Implikationen dieser Technik sowohl für Security-Profis als auch Hacker.

Mehr

Quelle : www.heise.de

[SiLæncer]

Der dritte und letzte Teil dieser Serie untersucht fünf verschiedene Techniken, um installierte Windows-Rootkits aufzuspüren. Dazu werden neun Tools vorgestellt, die dem Administrator bei dieser Aufgabe helfen.

1. Einführung

In den letzten Jahren wurden Rootkits immer raffinierter und 2005 gab es eine wahre Welle von Spyware, Würmern, Bot-Netzen und sogar Musik-CDs, die Rootkits installierten. Auch wenn es extrem schwer ist, ein Rootkit aufzuspüren oder gar zu entfernen, wenn es den Computer einmal unterwandert hat, gibt es einige Methoden, das trotzdem zu bewerkstelligen – mit wechselnden Erfolgsaussichten.

Der erste Teil erklärte, was ein Windows-Rootkit ausmacht und warum sie so gefährlich sind. Teil zwei beschäftigte sich mit den neuesten Rootkit-Techniken und wie sie sich verstecken. Dieser dritte Teil untersucht fünf Techniken zum Aufspüren von Rootkits und stellt verschiedene Tools dazu vor.

2. Signaturbasierte Erkennung

Antivirenprodukte setzen bereits seit Jahren signaturbasierte Erkennungsmethoden ein. Das Konzept ist einfach: Man durchsucht Dateien auf bestimmte, eindeutige Byte-Folgen, die eine Art Fingerabdruck eines Rootkits darstellen. Wird er gefunden, signalisiert das eine Infektion. Da diese Technik traditionell auf Dateien angewendet wird, ist sie bei der Entdeckung von Rootkits wenig nützlich, zumindest sofern sie nicht mit fortgeschritteneren Methoden kombiniert wird. Denn Rootkits neigen dazu, Dateien beispielsweise über Hooking-Techniken zu verstecken.

Man kann diese eigentlich antiquierte Technik jedoch sinnvoll einsetzen, wenn man zusätzlich den Hauptspeicher untersucht. Denn interessanterweise sind die meisten veröffentlichten Rootkits anfällig für Signatur-Scans des Kernel-Speichers. Als Kernel-Treiber liegen sie normalerweise im Non-Paged-Speicher, und wenige unternehmen überhaupt Anstrengungen, ihren Code durch Polymorphismus zu verschleiern. Somit sollte ein einfacher Speicher-Scan die meisten bekannten Kernel-Rootkits identifizieren – egal ob sie DKOM, SSDT- oder IDT-Hooking oder ähnliches in ihrer Trickiste haben. Die Schlüsselwörter im letzten Satz waren jedoch "bekannte Rootkits", denn Signatur-Scans sind per Definition machtlos gegen Schadcode, für den keine Signatur vorliegt. Des Weiteren helfen Signatur-Scans nicht gegen Rootkits wie Shadow Walker, die das Virtual Memory Management unterwandern, da diese die Lesezugriffe des Scanners auf den Speicher kontrollieren.

3. Heuristische Erkennung

Wo Signatur-Scans scheitern, springt die heuristische Erkennung ein. Ihr primärer Vorteil liegt darin, dass sie auch neue, bislang unbekannte Rootkits aufspüren kann. Sie erkennt Abweichungen von "normalen" Verhaltensmustern. Es sind bereits mehrere Heuristiken bekannt, um Rootkits aufzuspüren, die sich in den Ausführungspfad einklinken. Im Folgenden stellen wir zwei davon vor: VICE und Patchfinder.

3.1 VICE

VICE ist ein Freeware-Tool, das Hooks aufspüren soll [2]. Es ist ein Standalone-Tool, das einen Gerätetreiber installiert, um sowohl Applikationen im User Mode als auch den Kern des Betriebssystems zu analysieren. Im Kernel sucht VICE in der System Service Descriptor Table (SSDT) nach Funktionszeigern, die nicht auf ntoskrnl.exe zeigen. Des weiteren kann man Gerätetreiber in der Datei "driver.ini" hinzufügen, damit VICE deren IRP Major Function Table überprüft. (Anm. d. Ü.: Diese Tabelle listet die Funktionen, die der Treiber für die Behandlung von I/O Request Packets bereitstellt.) Verweist einer dieser Zeiger auf Code außerhalb des Treibers, hat sich ein externer Treiber oder eine Betriebssystemkomponente in die IRP-Behandlung einklinkt. Im User Mode überprüft VICE den Adressraum jeder Applikation auf IAT-Hooks in allen DLLs, die die Applikation benutzt. Inline Function Hooks in den importierten Bibliotheken entdeckt VICE ebenso wie in den Funktionen der SSDT. Es zeigt dabei an, welche Funktion umgeleitet wird und wohin. Wann immer möglich, zeigt das Tool auch den Pfad des Treibers oder der DLL-Datei an, die das Hooking durchführt, damit der Administrator diese entfernen kann. VICE entdeckt heute die meisten veröffentlichten Rootkits und alle Stealth-Techniken, die auf Hooking beruhen. Um VICE einzusetzen, muss auf dem Host-System Microsofts kostenloses .NET-Framework installiert sein.

Die aktuelle Version von VICE wurde allerdings bereits von mindestens einem bekannten Rootkit ausgetrickst. Es nutzte die Tatsache, dass VICE immer mit einem festen Prozessnamen ausgeführt wird. Wenn das Rootkit den VICE-Prozess entdeckte, leitete es keine Funktionen um, sodass VICE nichts finden konnte. Ein anderer Angriff zielte auf den Kommunikationskanal zwischen dem Gerätetreiber und der User-Mode-Applikation. Die größte Schwäche von VICE sind jedoch die vielen Fehlalarme, die es erzeugt. VICE spürt Hooks auf, aber es gibt auch viele legitime Einsatzgebiete für solche Hooks. Microsoft selbst nutzt sie beim Hot Patching und DLL Forwarding. Und es ist sehr schwer, einen bösen Hook von einem legitimen, gutartigen zu unterscheiden.

Mehr


Quelle : www.heise.de

[SiLæncer]

Das berüchtigte Windows-Rootkit TDL3 erfuhr kürzlich ein Versionsupdate. Damit kam ein wichtiges neues Feature: TDL3 ist nun in der Lage, 64-Bit-Systeme zu infizieren. Bisher waren lediglich Benutzer von 32-Bit-Windows gefährdet. Bekanntheit erlangte TDL3, als es in Verbindung mit einem bestimmten Windows-Update für ständige Bluescreens der infizierten Maschinen sorgte.

Seit besagtem Vorfall wurde das Rootkit häufig - oft mehrmals pro Woche - überarbeitet. Die meisten dieser Updates sollten die Erkennung durch Sicherheitssoftware verhindern. Teilweise wurden aber auch neue Features eingeführt. Nun kam - nachdem die Rootkit-Entwickler sich für eine Weile ungewöhnlich still und inaktiv verhielten - ein neues Feature, dass Cyberkriminelle jubeln und die Gegenseite aufhorchen läßt. In der aktuellen Version kann TDL3 auch 64-Bit-Versionen von Microsoft Windows infizieren.

Dieses neue Feature ist in sofern bemerkenswert, als 64-Bit-Betriebssysteme im Gegensatz zu den 32-Bit-Versionen über zusätzliche Sicherheitsfeatures verfügen. Gerade Angriffe gegen den Betriebssystem-Kernel werden dadurch erschwert. Insbesondere bei den aktuellen Windows-Versionen Windows Vista und Windows 7 wurde einiges getan, um den Kernel durch diese Sicherheitsfeatures effektiv zu schützen. Wie so oft aber zeigten sich die Malware-Autoren der Herausforderung gewachsen und schafften es, sämtliche Schutzmechanismen erfolgreich zu umgehen. Sicherheitsexperten, die momentan die neue Rootkit-Version noch untersuchen, vermuten, dass TDL3 die Schutzmechanismen durch Manipulation des Master-Boot-Records der Festplatte umgeht.

Damit wurde TDL3 das erste 64-Bit-kompatible Kernel-Rootkit, das "in the wild" beobachtet wurde. Momentan verbreitet sich das Rootkit, das erstmals vor 10 Tagen von Sicherheitsforschern entdeckt wurde, aktiv im Internet. Insbesondere Porno-Websites werden zur Verbreitung genutzt. Allerdings vermuten Sicherheitsforscher, dass es sich bei dem Rootkit um eine Beta-Version handelt. Dafür spricht sowohl die aktuelle Versionsnummer als auch die Tatsache, dass der Schädling nicht immer zuverlässig zu funktionieren scheint. Weitere, detaillierte Analysen der Software werden momentan durchgeführt.

Quelle : www.gulli.com