Rootkits: Spielt Microsoft mit dem Feuer?

Virtual Machine Rootkits, entwickelt unter Mitwirkung von Microsoft, könnten künftig zu einer nicht zu unterschätzenden Gefahr für Anwender werden.

In Zusammenarbeit mit Microsoft Research haben Forscher der Universität von Michigan ein Rootkit namens "SubVirt" entwickelt, das mit Virtuellen Maschinen (VM) arbeitet. Sie wollen damit zeigen, welche Gefahren möglicherweise auf uns zukommen. Die Frage ist bei Projekten wie diesem allerdings stets, ob man damit nicht erst andere auf solche Ideen bringt.

Getrennt vom User: Das Microsoft Proof-of-Concept richtet neben dem eigentlichen Betriebssystem eine zusätzliche virtuelle Umgebung ein, in der dann die schädlichen Prozesse ablaufen. (Quelle: F-Secure)
Getrennt vom User: Das Microsoft Proof-of-Concept richtet neben dem eigentlichen Betriebssystem eine zusätzliche virtuelle Umgebung ein, in der dann die schädlichen Prozesse ablaufen. (Quelle: F-Secure)

Die von den Entwicklern als Virtual Machine Based Rootkit (VMBR) bezeichnete Technik soll auf dem diesjährigen Symposium für Sicherheit und Privatsphäre des IEEE (Institute of Electrical and Electronics Engineers) vorgestellt werden, das vom 21. bis 24. Mai in Oakland, Kalifornien, stattfinden wird.

Die Installation des Rootkits erfordert Administratorrechte und einen Neustart des Systems. Das SubVirt-Rootkit schiebt durch Modifikationen am Startbereich der Festplatte einen VM Monitor unter das installierte Betriebssystem und verlagert dieses in eine Virtuelle Maschine. Dabei kann entweder Windows oder Linux installiert sein.

Ist Windows installiert, kommt eine Version des Rootkits zum Einsatz, die auf Microsofts VirtualPC basiert, für Linux wird VMware eingesetzt. Voraussetzung ist ferner, dass auf der primären Windows-Partition noch mindestens 250 MByte freier Speicherplatz vorhanden sind. Bei Linux wird die Swap-Partition umgewidmet. Das Installationspaket ist etwa 100 MByte groß, was eine vom Anwender unbemerkte Installation durch einen heimlichen Download aus dem Internet zumindest erschweren dürfte.