Eine neue Variante eines altbekannten Schädlings macht wieder die Runde. Das Trojanische Pferd Mebroot (Alias: Sinowal, Torpig) nistet sich im Boot-Sektor (MBR, Master Boot Record) der Festplatte ein. Der Schädling wird daher auch als MBR-Rootkit kategorisiert. Mebroot/Sinowal ist seit etwa zwei Jahren bekannt. Die neue Variante wird unter anderem über eine Sicherheitslücke in Java verbreitet.
Andrea Lelli berichtet im Symantec Security Response Blog ausführlich über die neu entdeckte Version von Mebroot. Lelli geht dabei vor allem auf die Verbreitung des Schädlings mit Hilfe einer Schwachstelle in älteren Versionen des Java-Plug-ins JRE ein. Der Exploit-Code für diese Sicherheitslücke sei in einem populären Exploit-Toolkit enthalten, schreibt Lelli. Dieses nutze auch weitere Schwachstellen, etwa im Flash Player oder im Adobe Reader, zum Einschleusen von Mebroot.
Die Vorgehensweise der Täter folgt dem üblichen Schema. Eine präparierte Web-Seite enthält für die erste Stufe verschleierten Javascript-Code, der den vom Besucher benutzten Browser analysiert. Der Code ruft dann eine passende Unterseite auf, die geeigneten Exploit-Code bereit hält. Für eine installierte anfällige Java-Version wird ein präpariertes Java-Applet geladen, das als JAR-Archiv vorliegt.
Einschleusen des Bootkits
JAR-Dateien sind im Wesentlichen ZIP-Archive, die CLASS-Dateien enthalten, also vorkompilierten Java-Code. In diesem Fall stecken die Dateien "player.class" und "mediapl.class" im Archiv. Sie nutzen eine Java-Schwachstelle, die sowohl unter Windows als auch unter Mac OS X funktioniert. Die aktuelle Java-Version 1.6.0_17 (JRE 6 Update 17) ist nicht anfällig.
Sie ermöglicht das Ausführen von Programm-Code außerhalb der Java-Sandbox mit den Rechten des angemeldeten Benutzers. Das genügt, um eine EXE-Datei aus dem Web zu laden und auszuführen. So wird der Mebroot-Schädling installiert und kann sich im Boot-Sektor der Festplatte einnisten, wo er gut getarnt ist.
Aktuelle Antivirus-Software ist jedoch in der Lage auch solche so genannten Bootkits aufzuspüren. Sie aus einem laufenden Windows heraus zu entfernen, schaffen hingegen nicht alle. Hier bietet sich der Einsatz einer Antivirus-Boot-CD an, wie sie verschiedene Antivirushersteller ihrer Software beilegen oder zum Download anbieten. (PC-Welt/hal)