Der Software-Konzern Microsoft hat Nutzer, deren Rechner mit dem Trojaner "Popureb" infiziert wurden, eine komplette Neuinstallation des Systems empfohlen. Anders ließe sich die Malware kaum sicher entfernen, da sie sich sehr tief im Boot-Sektor des Rechners versteckt.
"Wenn dein System mit dem Trojan:Win32/Popureb.E infiziert ist, empfehlen wir, den MBR zu reparieren und das System über eine Wiederherstellungs-CD neu aufzusetzen", erklärte Chun Feng vom Microsoft Malware Protection Center (MMPC). Die Installation wird so auf den ursprünglichen Auslieferungs-Zustand zurückgesetzt.
Durch ihr Versteck im MBR sei die Malware - solange sie nicht aktiv wird - für das Betriebssystem und Sicherheits-Software unsichtbar. Es ist auch nicht möglich, den Boot-Sektor eines laufenden Systems von dem Schädling zu befreien, da dieser Schreibzugriffe auf den MBR erkennt und in Lesezugriffe umwandelt.
Dadurch sieht es zwar nach außen so aus, als wäre die Löschung erfolgreich gewesen, in Wirklichkeit scheiterte der Versuch allerdings. In seinem
Blog-Posting verweist Feng auf Anleitungen, wie der MBR unter Windows XP, Windows Vista und Windows 7 komplett gelöscht werden kann.
In früheren Varianten war der Trojaner bei weitem nicht so aggressiv. Erst in die neueste Fassung haben die Entwickler solche Rootkit-Routinen eingebaut. Hierbei klinkt sich der Schädling in die DriverStartIO-Routine ein, die Schreib-Operationen steuert.
Zuletzt hatte Microsoft Anfang 2010 mit einer Malware zu tun, die sich ähnlich tief in das System eingrub und faktisch nur mit einer kompletten Neuinstallation zu entfernen war. Dabei handelte es sich um das Rootkit Alureon, das auf Windows XP abzielte. Das Unternehmen reagierte darauf mit der Durchführung einer Prüfung vor dem Einspielen von Security-Updates. Die Aktualisierung des Systems wurde bei einer Infektion dann abgelehnt, da dies die jeweiligen Installationen komplett zerstört hätte und Nutzer wohl viele Daten verloren hätten.
Quelle :
http://winfuture.de
