Thema: Microsoft bekämpft Alureon-Rootkit

[SiLæncer]

Microsoft erzielt offenbar Fortschritte bei der Entfernung des mutierenden "Alureon"-Rootkits. Dieses macht es den Betroffenen unmöglich, die aktuellsten Patches zu installieren, und setzt das System damit einem zusätzlichen Risiko aus.

Microsoft bemühte sich nun schon den zweiten Monat darum, das Rootkit von infizierten Rechnern zu entfernen. Zu diesem Zweck wurde das Rootkit in das Malicious Software Removal Tool (MSRT) aufgenommen. Seit der neuen MSRT-Version vom 11. Mai wurden laut dem Microsoft Malware Prevention Center (MMPC) über 360.000 Windows-Rechner von dem Rootkit gesäubert. Damit entfielen rund 18% aller entdeckten Infektionen auf Alureon.

Das Rootkit machte Schlagzeilen, weil es in Verbindung mit einem im Februar verteilten Kernel-Update für Abstürze sorgte (gulli:News berichtete). Dies war für Microsoft der Auslöser, verstärkt gegen Alureon vorzugehen. Zudem werden Kernel-Patches mittlerweile mit einer Software ausgeliefert, die überprüft, ob eine Infektion vorliegt. Ist das der Fall, wird das Update - betroffen sind die Patches MS10-015 und MS10-021 - nicht installiert, um ständige Abstürze zu vermeiden.

Die hohe und sogar noch ansteigende Anzahl von Alureon-Infektionen führen Sicherheitsexperten auf neue Varianten des Schädlings zurück. "Es gab mehrere Modifikationen des Rootkits, um Entdeckung und Entfernung zu verhindern. Das zeigt, dass das Rootkit noch immer aktiv entwickelt und verteilt wird," schrieben Vishal Kapoor und Joe Johnson vom MMPC am vergangenen Freitag in einem Blogeintrag. Eine Veränderung ermöglicht es Alureon, beliebige Treiber zu infizieren. Dadurch kann es zu erheblichen Problemen kommen, wenn das System auf den Treiber angewiesen ist.

Von Alureon betroffen sind mehrheitlich Rechner, die Windows XP verwenden. In weit geringerem Maße sind auch Windows Vista und Windows 7 betroffen.

Quelle : www.gulli.com

[SiLæncer]

Der Antivirenhersteller Kaspersky hat ein weiteres Rootkit mit 64-Bit-Unterstützung entdeckt: Eine Variante des Banker-Rootkits hat es auf die Zugangsdaten brasilianischer Onlinebanking-Kunden abgesehen. Der Schädling wird durch eine Lücke in einer veralteten Java-Version ins System eingeschleust und deaktiviert zunächst die Benutzerkontensteuerung (UAC) von Windows, um ungestört sein Werk verrichten zu können. Anschließend installiert er gefälschte Wurzelzertifikate und ändert die HOSTS-Datei, wodurch das Opfer beim Besuch der Bankenwebsite auf eine von den Betrügern betriebene Phishing-Seite umgeleitet wird. Durch das installierte Zertifikat gibt der Browser beim Aufbau der verschlüsselten Verbindung zur Phishing-Seite keine Warnmeldung aus, und das Opfer schöpft keinen Verdacht. Anschließend löscht der Schädling laut Kaspersky noch ein Sicherheitsplugin, das von einigen brasilianischen Banken verwendet wird.

Ungewöhnlich ist, dass die Malware für die Deinstallation des Sicherheitsplugins und die Modifikation des HOSTS-Datei einen eigenen Treiber im System verankert. Dies ist unter einem 64-Bit-Windows mit einigem Aufwand verbunden, da Microsofts Kernel Patch Protection (PatchGuard) die Installation unsignierter Treiber verhindert. Da 64-Bit-Installationen von Windows zudem einen recht geringen Marktanteil haben, sind Rootkits mit 64-Bit-Unterstützung derzeit noch eine seltene Erscheinung. Im November vergangenen Jahres wurde etwa eine 64-Bit-Version des Alureon/TDL-Rootkits gesichtet.

Ähnlich wie Alureon nutzt Banker einen für Entwickler gedachten Testmodus, um PatchGuard zu umgehen: Der Schädling aktiviert mit Hilfe des Microsoft-Tools bcdedit.exe die TESTSIGNING-Option, wodurch Windows klaglos das Testzertifikat des Rootkit-Treibers plusdriver64.sys akzeptiert. Den TESTSIGNING-Modus hat Microsoft eigentlich als Hintertür für Entwickler in Windows integriert, die ihre eigenen Treiberkreationen auf einem 64-Bit-System testen wollen, noch bevor diese endgültig signiert sind. Er existiert seit Vista in den 64-bittigen Windows-Versionen.

Quelle : www.heise.de

[SiLæncer]

Eine Variante des Rootkits Alureon ist neuerdings in der Lage, sich selbst über lokale Netzwerke und Wechselmedien zu verbreiten, wie aus einem Blog-Eintrag der Kaspersky Labs hervorgeht.

Zum Vervielfältigen über Wechselmedien schreibt der Wurm (Net-Worm.Win32.Rorpian), der auch unter TDSS und TDL4 firmiert, darauf die Dateien setup.lnk, myporno.avi.lnk, pornmovs.lnk und autorun.inf mit Links auf seinen Code.

Wenn der Wurm sich übers Netzwerk fortpflanzen will, versucht er zunächst einen DHCP-Server zu finden. Danach ermittelt er, welche IP-Adressen der Server im Pool übrig hat und startet selbst einen. Anfragen von Clients versucht er noch vor dem regulären DHCP-Server zu beantworten. Wenn das gelingt, erhält der Client eine IP-Adresse aus dem zuvor ermittelten Kontingent und – das ist der gemeine Trick – als DNS-Server den eines Rechners zugewiesen, der unter der Kontrolle der Angreifer steht. Damit können die Kriminellen jede DNS-Anfrage mit beliebigen IP-Adressen auflösen.

Steuert der Nutzer nun am so infizierten Computer eine Webseite an, erscheint in Folge der Umlenkung auf die IP-Adresse eines bösartigen Webservers stets eine Seite im Browser, die ihn zum Installieren eines "Updates" auffordert. Dahinter verbirgt sich wiederum der Wurm, womit das Spiel von vorne beginnen kann.

Diese Fortpflanzungsmethode ist zwar besonders hinterlistig, aber nicht ganz neu. Bereits Ende 2008 machte der Schädling DNSChanger mit einem vergleichbaren Verfahren von sich Reden.

Quelle : www.heise.de