Sicherheitsunternehmen schlagen Alarm

Comeback der Bootsektor-Viren

Die polnischen Entwickler der Anti-Rootkit-Software GMER und andere Sicherheitsunternehmen haben ein Rootkit gemeldet, das sich im Master Boot Record (MBR) einnistet. Zwar sind gemeldete Infektionszahlen gering, dennoch hat die Entdeckung für Aufsehen gesorgt.

"Es ist natürlich interessant, wenn Techniken aus der Viren-Steinzeit wieder auftauchen", erklärt Magnus Kalkuhl, Virenanalyst von Kaspersky Labs, auf Anfrage von pressetext. Bootsektor-Viren waren zu DOS-Zeiten sehr weit verbreitet, sind jedoch mit dem Erscheinen von Windows NT verschwunden. Mitarbeiter von eEye Digital Security haben erst 2005 mit eEye BootRoot gezeigt, dass Bootsektor-Viren auch bei NT-basierten Systemen (also auch Windows XP und Vista) möglich sind. Erst jetzt gibt es tatsächlich das Comeback des Bootsektor-Virus, die Malware scheint auf dem Code des BootRoot-Projekts aufzubauen. "Ein Massenrevival der Bootsektor-Viren ist relativ unwahrscheinlich, zumal dieses Rootkit unter Vista nur eingeschränkt lauffähig ist", relativiert Kalkuhl die Bedeutung des Rootkits.

"Wirklich gefährlich könnte es nun werden, wenn eine ebenfalls vor wenigen Monaten veröffentlichte Machbarkeitsstudie ('Blue Pill') der Sicherheitsexpertin Joanna Rutkowska mit MBR-Techniken kombiniert werden sollte", warnt Kalkuhl jedoch vor einer möglichen neuen Bedrohung. "Dabei würde ein System gleich beim Hochfahren in eine virtuelle Umgebung verschoben werden, ohne dass der Nutzer etwas davon merkt, und völlig unabhängig vom verwendeten Betriebssystem", erläutert der Virenexperte weiter. Brisanterweise ist auch Rutkowskas Quellcode zum Blue Pill Project frei verfügbar.

Vor dem Wurm Nugache als möglichem Storm-Worm-Nachfolger im Bereich Botnetze warnt indes das Unternehmen Secure Computing. "Massenangriffe wie beim Storm-Worm Anfang 2007 werden sicher kein Einzelfall bleiben", ist auch Kalkuhl überzeugt. Eine über die derzeit üblichen Niveaus hinausgehende, spektakuläre Verbreitung von Storm selbst, Nugache oder anderen Nachfolge-Kandidaten sei ihm akut nicht bekannt. Immer ausgefeiltere Botnetz-Würmer seien aber ein aktueller Malware-Trend. "2008 hat gerade erst begonnen, und die Zahl neuer Schädlinge pro Tag hat sich zum Vorjahr fast verdoppelt", so hält Kalkuhl den nächsten Botnetz-Superwurm noch in diesem Jahr für wahrscheinlich. Über Bootsektor-Viren und MBR-Rootkits berichtete TecChannel bereits in dieser Meldung.