MBR-Rootkit tarnt sich noch besser

SicherheitSicherheitsmanagementVirus

Laut den Sicherheitsexperten von McAfee sind neue Varianten des Trojaners StealthMRB alias Mebroot aufgetaucht, die sich noch tiefer im System einnisten und kaum noch zu entdecken sind.

Der Schädling schnappt sich nun noch tiefer im System sitzende Laufwerksteiber und kapert Kernel-Objekte, um sich im Bootsektor zu verstecken und Reparaturversuche zu verhindern. Besonders trickreich: diese so genannten Hooks sind nicht die ganze Zeit aktiv, sondern werden nur bei Bedarf installiert. Die Malware lässt sich fast nicht mehr aufspüren, da es für Sicherheitsprogramme aussieht, als sei der Bootsektor in Ordnung. Mit eigenen Überwachungsprozessen kontrolliert das Rootkit, ob es entdeckt und entfernt wurde und infiziert den Rechner gegebenenfalls erneut.

McAfee zufolge gibt es keinerlei Dateien oder Registry-Einträge die auf ein derart installiertes Rootkit hinweisen. Am ehesten sei es daher vor der Installation zu entdecken, da dafür eine Datei auf dem Rechner platziert werden muss. Die McAfee-Virenscanner sollen diese Dropper bereits erkennen. Zudem hat man auch Mechanismen entwickelt, um das installierte Rootkit aufzuspüren und zu entfernen, diese durchlaufen derzeit aber noch interne Tests bei den Sicherheitsspezialisten. (Daniel Dubsky)