Boot-Trick

Rootkit umgeht Treibersignierung von 64-Bit-Windows

Das TDL4-Rootkit, auch als Alureon bekannt, ist in der Lage die erforderliche Signierung von Treibern bei 64-Bit-Versionen von Windows umgehen und damit eine wichtige Schutzvorkehrung auszutricksen.

Das Rootkit TDL4, die neueste Inkarnation eines auch als TDSS oder Alureon bekannten Schädlings, kann sich auch in den 64-Bit-Fassungen von Windows einnisten. Dies gelingt, obwohl Microsoft für diese Windows-Versionen eine Treibersignierung zum Schutz des Systemkerns vorgesehen hat. Doch diese Erfordernis lässt sich abschalten, wie erstmals ein realer Schädling demonstriert.

Chandra Prakash von GFI Labs berichtet im Blog des Sicherheitsunternehmens Sunbelt Software, das in diesem Jahr von GFI übernommen wurde, über die Tricks, die TDL4 auf Lager hat. Prakash hat das Rootkit analysiert und auch entdeckt, dass TDL4 Debugger lahm legt, um Malware-Forschern die Untersuchung des Schädlings zu erschweren.

Die 64-Bit-Fassungen von Windows 7 und Vista bieten eine Boot-Option zum vorübergehenden Ausschalten der Prüfung auf gültige Treibersignaturen. Diese für Testzwecke vorgesehene Möglichkeit nutzt TDL4 aus, indem es zunächst ein MBR-Rootkit installiert, also Code in den Master-Boot-Record der Startfestplatte schreibt. Dieser Code wird vor dem Start von Windows geladen und setzt im Speicher den Boot-Parameter, der die Treiberprüfung deaktiviert. So kann der nicht signierte Rootkit-Treiber geladen werden.

Die MBR-Manipulation erfolgt über direkte Schreibzugriffe per I/O-Befehl. Die dazu erforderlichen Administratorrechte rufen zwar ein UAC-Fenster der Benutzerkontensteuerung auf den Plan, doch mit ein wenig Social Engineering dürfte es kein Problem sein, den einen oder anderen Windows-Benutzer auszutricksen. (PC-Welt/cvi)