Anfang des Jahres hat der Autor des Anti-Rootkit-Werkzeugs GMER einen neuen Bootsektor-Virus entdeckt, der sich im Master-Boot-Record (MBR) der Festplatte einnistet und mit Rootkit-Techniken den Windows-Kernel beim Systemstart manipuliert, um sich zu verstecken. Die Antivirenhersteller haben zwar Wege gefunden, den Schädling trotzdem zu erkennen, doch jetzt sind Varianten des MBR-Rootkits aufgetaucht, die sich mit einer noch ausgeklügelteren Tarnung einnisten wollen.

Die ersten Varianten des MBR-Rootkits haben lediglich Systemfunktionen der Laufwerkstreiber wie disk.sys verbogen, um den Inhalt des MBR zu verstecken. Die Antivirenhersteller und GMER konnten diese sogenannten Hooks umgehen, indem sie die Adresse des Original-Codes direkt anspringen, den sie aus der Systemfunktion ClassPnpReadWrite des Treibers Classpnp.sys extrahieren konnten. Die neuen Varianten des MBR-Rootkits manipulieren nun Werte in Classpnp.sys, damit die Erkennungsroutinen die falsche Adresse auslesen und die Erkennungsprogramme die Hooks des Rootkits verwenden – und somit wieder blind sind für eine Infektion. Außerdem startet die neue Variante einen Beobachtungsprozess, der den MBR und die Hooks überwacht und das Rootkit im Falle einer Entfernung erneut installiert.

Die Antivirenhersteller Trend Micro und McAfee haben ihre Erkennungsmechanismen bereits angepasst, um auch die neuen Varianten des MBR-Rootkits zu erkennen und entfernen. Der aktuelle GMER-Build stammt von Anfang März und kennt die neuen Tricks daher noch nicht. Im Verdachtsfall kann man jedoch mit einer Boot-CD mit aktuellem Virenscanner und frischen Signaturen, wie der Knoppicillin von c"t 26/07, F-Secures Boot-CD oder der von Avira den Rechner starten und untersuchen; das Rootkit ist dann nicht aktiv und kann von den Virenscannern aufgespürt werden.

Siehe dazu auch:

(dmk/c"t)