Neue Version von Mebroot

Neues Rootkit gräbt sich tief ein

Das Rookit Mebroot ist in einer neuen Version unterwegs. Diese gräbt sich tief in Windows-Systeme ein und soll angeblich von VIrenscannern kaum zu entdecken sein.

Das als "Mebroot" bekannte Rootkit nistet sich nicht wie andere Rootkits als Systemtreiber in Windows ein. Es infiziert vielmehr den Master Boot Record (MBR) der Festplatte, wo es zur Laufzeit des Systems kaum zu entdecken ist. Eine neue Version dieses so genannten MBR-Rootkits bereits Antivirusfirmen weiteres Kopfzerbrechen. Sie gräbt sich noch tiefer ins System ein und tarnt sich so gut, dass selbst spezielle Anti-Rootkit-Tools versagen.

Dies meint jedenfalls Marco Giuliani vom britischen Sicherheitsunternehmen Prevx, der die neue Mebroot-Version analysiert und die ersten Ergebnisse im Blog des Unternehmens veröffentlicht hat. Mebroot infiziert nicht nur den MBR, es klinkt sich auch in grundlegende Funktionen des Windows-Kerns ein und manipuliert sie. Versucht ein Windows-Programm, etwa ein Virenscanner, auf den MBR zuzugreifen, präsentiert Mebroot einen perfekt sauberen Master Boot Record.

Der MBR der ersten Festplatte eines Rechners ist derjenige Bereich, auf den das BIOS des Computers nach dem Einschalten zuerst zugreift. Findet es dort eine gültige Startroutine, übergibt es die weitere Kontrolle an diese Routine. Die sollte nun eigentlich das Betriebssystem, meist Windows, starten. Mebroot jedoch manipuliert zunächst den Windows-Kern, bevor es ihn startet.

Damit behält Mebroot weiterhin die Kontrolle über den PC und kann Windows sowie unter Windows laufenden Programmen vorgaukeln, was immer die Mebroot-Programmierer wollen. Es kann zum Beispiel auch verhindern, dass bestimmte Dateien oder Registry-Einträge entdeckt werden können. Mebroot injiziert seinen Code beim Start in systemnahe Windowsprozesse, zum Beispiel in den Windows Service Host (svchost). Dadurch enthält keine Datei auf der Festplatte Teile des Rootkits.

Die einzige Ausnahme davon ist der Moment, in dem das Rootkit über manipulierte Web-Seiten eingeschleust und installiert wird. Dann sind kurzzeitig Dateien im TEMP-Verzeichnis sichtbar. Bis dahin sollte ein Virenscanner den Mebroot-Installer entdeckt und gestoppt haben. Danach wird es kaum noch möglich sein, den Schädling aufzuspüren. Selbst hoch entwickelte Anti-Rootkit-Tools wie GMER können die neue Mebroot-Version nach Angaben von Marco Giuliani derzeit nicht erkennen.

Jacques Erasmus, Forschungsleiter bei Prevx, geht davon aus, dass die neue Rootkit-Version bereits fleißig verbreitet wird. Sie ist nur entdeckt worden, weil der PC eines Prevx-Kunden damit infiziert wurde. Es seien bereits mehrere tausend Web-Server gehackt und manipuliert worden, um die neue Mebroot-Version zu verbreiten.

Umso wichtiger ist es, dass die Antivirushersteller die verschiedenen Mebroot-Installer erkennen und stoppen, bevor der Rechner infiziert wird. Später hilft wohl eine Antivirus-Boot-CD am besten, denn dann wird der Rechner mit einem Betriebssystem gestartet, das nicht unter der Kontrolle von Mebroot ist. (PC-Welt/mja)