Burgerdri
20.01.08, 22:26
Einmal installiert, öffnet ein Rootkit den Computer für Zugriffe von außen. Angreifer können problemlos und unerkannt auf den Rechner gelangen.
Das Master Boot Record (MBR) Rootkit ist ziemlich gefährlich: Von einer beinahe unsichtbaren Malware bis zum perfekten DRM- und Kopierschutz-Crack scheint alles möglich.
Der Master Boot Record (kurz MBR) als Startpunkt für Rootkits war lange Zeit nur einigen wenigen Experten bekannt. Ein recht ausführlicher Artikel der Sicherheitsexperten des Anti-Rootkit-Tools Gmer, beschreibt nun die exakte Funktionsweise und öffnet so die Büchse der Pandora.
Das Thema ist vorallem deshalb so spannend, weil das MBR Rootkit bereits zu einem sehr frühen Zeitpunkt ansetzt. Von einer nahezu unsichtbaren Malware, bis hin zum perfekten DRM- und Kopierschutz-Crack scheint alles möglich. Und so funktioniert das MBR-Rootkit (kurze Fassung):
1. Der Installer schreibt den eigentlichen Rootkit-Code (etwa einen gefährlichen Kernel-Treiber) in die letzten paar Sektoren der Festplatte. Außerdem werden die Sektoren 0, 60, 61 und 62 modifziert. Sektor 0 enthält dabei den eigentlichen Loader, 61 den Kernel-Loader und 62 den Original-MBR-Code.
2. Der MBR-Rootkit-Loader klinkt sich über Interrupt 13 ins System ein und kontrolliert so die Sektoren, auf die der Windows NTLDR zugreift. Windows lädt jetzt, was das Rootkit vorgibt.
3. Jetzt können Systemfunktionen modifziert werden, eigene Kernel-Treiber geladen und die Rootkit-Komponenten versteckt werden.
Erkennung
Wie meistens bei der Rootkit-Erkennung, genügt es auf zwei unterschiedlichen Wegen auf die Verstecke zuzugreifen. Die aktuelle Version von GMer (v1.0.14) macht das, indem es einmal die Windows-API nutzt und dann mit einem direkten Lesezugriff auf den selben Bereich vergleicht.
Entfernen
Das Deaktivieren oder auch Entfernen des Rootkits ist glücklicherweise denkbar einfach: Es muss lediglich der MBR neu geschrieben werden. Das erreicht man unter Vista etwa mit dem Tool fixmbr, welches über die Rettungskonsole der Setup-DVD zu erreichen ist
NACHTRAG: Wie die Sicherheitsfirma Prevx meldet, befinden sich sogar schon Schädlinge im Umlauf, die auf die MBR-Rootkit-Technologie setzen.
Quelle:
http://www.chip.de/news/Rootkit-knackt-W...id1=9226&tid2=0
Das Master Boot Record (MBR) Rootkit ist ziemlich gefährlich: Von einer beinahe unsichtbaren Malware bis zum perfekten DRM- und Kopierschutz-Crack scheint alles möglich.
Der Master Boot Record (kurz MBR) als Startpunkt für Rootkits war lange Zeit nur einigen wenigen Experten bekannt. Ein recht ausführlicher Artikel der Sicherheitsexperten des Anti-Rootkit-Tools Gmer, beschreibt nun die exakte Funktionsweise und öffnet so die Büchse der Pandora.
Das Thema ist vorallem deshalb so spannend, weil das MBR Rootkit bereits zu einem sehr frühen Zeitpunkt ansetzt. Von einer nahezu unsichtbaren Malware, bis hin zum perfekten DRM- und Kopierschutz-Crack scheint alles möglich. Und so funktioniert das MBR-Rootkit (kurze Fassung):
1. Der Installer schreibt den eigentlichen Rootkit-Code (etwa einen gefährlichen Kernel-Treiber) in die letzten paar Sektoren der Festplatte. Außerdem werden die Sektoren 0, 60, 61 und 62 modifziert. Sektor 0 enthält dabei den eigentlichen Loader, 61 den Kernel-Loader und 62 den Original-MBR-Code.
2. Der MBR-Rootkit-Loader klinkt sich über Interrupt 13 ins System ein und kontrolliert so die Sektoren, auf die der Windows NTLDR zugreift. Windows lädt jetzt, was das Rootkit vorgibt.
3. Jetzt können Systemfunktionen modifziert werden, eigene Kernel-Treiber geladen und die Rootkit-Komponenten versteckt werden.
Erkennung
Wie meistens bei der Rootkit-Erkennung, genügt es auf zwei unterschiedlichen Wegen auf die Verstecke zuzugreifen. Die aktuelle Version von GMer (v1.0.14) macht das, indem es einmal die Windows-API nutzt und dann mit einem direkten Lesezugriff auf den selben Bereich vergleicht.
Entfernen
Das Deaktivieren oder auch Entfernen des Rootkits ist glücklicherweise denkbar einfach: Es muss lediglich der MBR neu geschrieben werden. Das erreicht man unter Vista etwa mit dem Tool fixmbr, welches über die Rettungskonsole der Setup-DVD zu erreichen ist
NACHTRAG: Wie die Sicherheitsfirma Prevx meldet, befinden sich sogar schon Schädlinge im Umlauf, die auf die MBR-Rootkit-Technologie setzen.
Quelle:
http://www.chip.de/news/Rootkit-knackt-W...id1=9226&tid2=0