Neuartige kombinierte Trojaner-Rootkit-Angriffe

Panda Security meldet Angriffe mit neuartigen Trojanern, die mittels integrierter Rootkits in der Lage sind, den Master Boot Record (MBR) zu überschreiben. Laut Panda ist dies eine neue Eigenschaft von Rootkits, die ein Aufspüren dieser Malware erschwert. Bisher haben sich alle bekannten Rootkits in Systemprozessoren eingenistet, die neuen Exemplare setzen sich auf dem Teil der Festplatte fest, der beim Bootvorgang, also schon vor dem Start des Betriebssystems aktiv ist.
Wurde ein solches Rootkit erst einmal erfolgreich auf einem System installiert, erstellt es eine Kopie des vorhandenen MBR und verändert diesen, indem eigene, schädliche Befehle hinzugefügt werden. Schliesslich wird der originale MBR durch den manipulierten ersetzt. Wird auf den MBR zugegriffen, leitet das Rootkit den Zugriff dem originalen MBR zu, so dass nichts Verdächtiges bemerkt wird.
 

Beim Hochfahren aktiviert das System den manipulierten MBR. "Diese Angriffsmethode macht es aktuell praktisch unmöglich, installierte Rootkits und die zugehörige Malware zu entdecken. Die einzig zuverlässige Verteidigung ist die Prävention. Sie müssen erkannt und abgewehrt werden, noch bevor sie ins System eindringen. Proaktive Technologien, die auch unidentifizierte Schadprogramme aufspüren, sind dazu notwendig", so die Ausführungen des technischen Direktors der Pandalabs, Luis Corrons. (12.01.08, ZDNet)