Rootkits werden virtuell

19. März 2006, 14:01
29 Postings

Forscher warnen vor kommenden Gefahren - Rootkit kann sich praktisch unaufspürbar machen

Mit einem Proof-of-Concept-Programm namens SubVirt wollen ForscherInnen der University of Michigan vor einer kommenden Generation von noch gefährlicheren Rootkits warnen. Diese könnten sich nämlich Virtualisierungstechniken zunutze machen, um sich vollkommen vom laufenden Betriebssystem zu isolieren und somit ihre Anwesenheit zu verschleiern, dies berichtet der Nachrichtenservice Golem.

Trickreich

SubVirt wurde sowohl für Windows XP als auch für Linux entwickelt, die Software manipuliert den Boot-Loader und verbannt das bisherige Betriebssystem unbemerkt in eine virtuelle Maschine. Dadurch ist es auch mit forensischen Mitteln aus dem Betriebssystem heraus nicht mehr aufzuspüren.

Virtualisierung

Dafür wurde unter Windows Virtual PC und unter Linux VMWare zum Einsatz gebracht, mit der steigenden Verbreitung von Virtualisierungstechniken direkt in den Betriebssystemen sollte der Einsatz solcher "Virtual-Machine Based Rootkit" (VMBR) allerdings noch wesentlich einfacher werden.

SubVirt soll im Mai 2006 auf dem IEEE Symposium on Security and Privacy der Öffentlichkeit präsentiert werden, bisher gibt es lediglich ein PDF-Dokument, das die Funktionsweise beschreibt. Die ForscherInnen wurden bei ihren Untersuchungen von Intel und Microsoft unterstützt. (red)

  • Bild nicht mehr verfügbar
Share if you care.