Java-Exploit

Neue Welle von Mebroot-Infektionen

Einschleusen des Bootkits

JAR-Dateien sind im Wesentlichen ZIP-Archive, die CLASS-Dateien enthalten, also vorkompilierten Java-Code. In diesem Fall stecken die Dateien "player.class" und "mediapl.class" im Archiv. Sie nutzen eine Java-Schwachstelle, die sowohl unter Windows als auch unter Mac OS X funktioniert. Die aktuelle Java-Version 1.6.0_17 (JRE 6 Update 17) ist nicht anfällig.

Sie ermöglicht das Ausführen von Programm-Code außerhalb der Java-Sandbox mit den Rechten des angemeldeten Benutzers. Das genügt, um eine EXE-Datei aus dem Web zu laden und auszuführen. So wird der Mebroot-Schädling installiert und kann sich im Boot-Sektor der Festplatte einnisten, wo er gut getarnt ist.

Aktuelle Antivirus-Software ist jedoch in der Lage auch solche so genannten Bootkits aufzuspüren. Sie aus einem laufenden Windows heraus zu entfernen, schaffen hingegen nicht alle. Hier bietet sich der Einsatz einer Antivirus-Boot-CD an, wie sie verschiedene Antivirushersteller ihrer Software beilegen oder zum Download anbieten. (PC-Welt/hal)