Rootkit versteckt sich noch besser

Bei der Malware handelt es sich um eine neue Variante des seit 2007 bekannten Rootkits Mebroot. Dies berichtet Jacques Erasmus von der IT-Sicherheitsfirma Prevx. Dieses nistete sich im Master Boot Record (MBR) ein. Dabei handelt es sich um Code, den ein Computer liest, wenn er das Betriebssystem startet.

Die jüngste Mebroot-Variante verhakt sich nun in diverse Funktionen des Kernels, also dem grundlegenden Code des Betriebssystems. Dabei verwischt das Rootkit seine Spuren und lässt den MBR so erscheinen, als sei dieser nicht verändert worden. Dadurch können auch gängige Anti-Malware-Programme die Schadsoftware nicht entdecken. "Wenn der MBR untersucht wird, präsentiert die Malware eine perfekte Kopie des MBR und täuscht damit die Scan-Software", erklärt Erasmus.

Jedesmal, wenn Windows gebootet wird, versteckt sich die jüngste Mebroot-Variante im Zwischenspeicher. Dadurch wird nichts auf die Festplatte geschrieben, auch dies eine Technik, um sich vor einer Entdeckung durch Anti-Viren-Software zu verstecken. Vom Memory aus kann der PC dann kontrolliert und von Hackern gekapert werden. Die Software kann sodann jede Information auf dem Rechner stehlen und an einen beliebigen Server im Internet schicken. Auch dieser Datenverkehr werde von der Mebroot-Variante geschickt verschleiert, führt Erasmus aus.

Infizieren kann sich jeder, da sich das Rootkit rein beim Besuch einer befallenen Webseite installiert. Laut Erasmus hat Prevx die Erkenntnisse an die bekannten Anti-Viren-Hersteller übermitteln. "Die arbeiten derzeit unter Hochdruck daran, die eigenen Anti-Malware-Engines anzupassen und auf die Methoden der jüngsten Mebroot-Variante zu sensibilisieren", sagt er.