Zusätzliche Schutzmechanismen werden umschifft - Nistet sich im Master Boot Record ein
Von einer neuen 64-Bit-Version des Rootkits Alureon berichtet nun heise online. Das Besondere daran: Diese Variante von Alureon kann auch die zusätzlichen Sicherheitsmaßnahmen der 64-Bit-Ausgaben von Windows Vista und Windows 7 aushebeln.
Umwege
So wird durch das Rootkit etwa die Überprüfung der Treibersignierung ausgehebelt, mit der eigentlich das Laden von Treibern nicht bekannter Hersteller verhindert werden soll. Auch der Kernel PatchGuard wird umgangen, in dem einige API-Aufrufe gleich beim Systemstart "umgebogen" werden. Beides Methoden, die bereits in der Vergangenheit theoretisch diskutiert wurden, nun aber zum ersten Mal real implementiert wurden.
Root
Um frühzeitig auf das System zugreifen zu können, schreibt sich Alureon in den Master Boot Record (MBR) eines Rechners, wo üblicherweise der Boot-Loader abgelagert wird. Um sich überhaupt einmal an dieser Stelle einnisten zu können, benötigt das Rootkit freilich zunächst mal Administrator-Berechtigungen. Diese einzuholen dürfte allerdings kein größeres Hindernis darstellen, scheint sich Alureon derzeit doch vor allem über Spiele-Cracks und Porno-Download-Tools zu verbreiten.
Aufspüren
Das Rootkit gehört zu den besonders "erfolgreichen" seiner Gattung, Alureon soll mittlerweile bereits in der vierten Generation im Umlauf sein - und weite Verbreitung finden. Dies obwohl es einige Möglichkeiten zur Aufspürung des Schädlings gibt, so bietet etwa Microsoft selbst in seinen Security Essentials seit August Signaturen zur Aufspürung von Alureon an. (red, derStandard.at, 16.11.10)
