Wiedergänger aus der DOS-Ära

Seit einigen Wochen beobachten Sicherheitsexperten eine neue Art von bösartiger Software - die sich auf einem uralten Infektionsweg in die Computer der Anwender schleicht. Und zwar mit der Absicht, sich vor der Aufdeckung durch gängige Antivirenprogrammen zu schützen.

Die Malware, die das IT-Security-Unternehmen Symantec ,,Trojan.Mebroot" getauft hat, nistet sich im ersten Datenblock einer Festplatte - dem sogenannten Master Boot Record (MBR) - ein. Da der MBR noch vor dem Start des Betriebssystems aufgerufen wird, kann das Schadprogramm den Windowskern verändern und damit die Wirkung von Antivirenprogrammen aushebeln. Mit fatalen Folgen, wie Elia Florio, Malware-Forscher bei Symantec in seinem Security-Weblog festhält: "Wenn jemand den MBR kontrolliert, ist er Herr über das Betriebssystem und daher auch über den PC, auf dem dieses läuft."

Der Nistplatz des Trojan.Mebroot im MBR ist recht ausgefallen. Dieser Infektionsweg ist zwar zu Zeiten des Microsoft-Betriebssystems DOS geläufig gewesen, seither aber kaum noch beschritten worden. Der Grund: Angriffe über den MBR sind komplex, und es gibt einfachere, lukrativere Möglichkeiten von Attacken auf PCs.

Das MBR-Rootkit Trojan.Mebroot verbreitet sich seit Mitte Dezember, wie das I-Defense Intelligence Team von Verisign berichtet. Bereits hätten die Malware-Programmierer zwei Angriffswellen gestartet mit gesamthaft rund 5000 infizierten PCs. Nach Angaben von I-Defense verwenden die Hacker zudem verschiedene Varianten des Rootkits, so dass dieses derzeit von vielen Anti-Malwareprogrammen nur durch Zufall erkannt wird. Allerdings seien die meisten Hersteller dabei, ihre Produkte entsprechend aufzurüsten, heisst es.