Mit dem Aufkommen von Windows-NT und XP gehörte das Thema Bootsektor-Viren lange Zeit der Vergangenheit an. Doch jetzt hat der Entwickler der Anti-Rootkit-Software GMER einen Schädling entdeckt, der sich im Master-Boot-Record (MBR) der Festplatte einnistet. Der Schädling wurde auf verschiedenen komprimierten Seiten, vorwiegend italienischen, entdeckt und nutzt Sicherheitslücken veralteter Software aus um im sich System einzuschleusen.

Der entdeckte Schädling kopiert sich laut heise zunächst in den eigentlichen Bootsektor im Sektor 62 der Festplatte. Dann kopiert er sich in den MBR und schreibt eigene Daten in die Sektoren 60 und 61. Durch den Rootkit-Treiber wird der Schädling dann in weitere freie Sektoren der Festplatte geschrieben. Anschließend ist der Code im MBR dafür zuständig den Rootkit-Treiber zu laden. Nachdem Neustart klinkt sich der Code in den Interrupt ein und erhält so die Kontrolle über die geladenen Daten und kann infolge dessen den Windows-Kernel patchen. Der Rootkit-Treiber leitet wiederum Leseanfragen für den Bootsektor an den Originalcode im Sektor 62 um, indem er sich in die Systemfunktionen IRP_MJ_READ und IRP_MJ_WRITE des Treibers disk.sys einklingt. Weiterhin baut er eine Verbindung zum Internet auf.

Der MBR-Rootkit, der auf einem frei verfügbaren Code von BootRoot basiert, läuft unter Windows Vista nur eingeschränkt. Wirklich betroffen sind vor allem die Nutzer von Windows XP und NT. Entfernt werden kann der Schädling mit Hilfe des Windows-Tools fixmbr, welches den Schädling überschreibt und damit unschädlich macht. Abhilfe könnte vielleicht auch das hauseigene Tool von GMER verschaffen. Gefragt sind nun die Hersteller von Antivirenhersteller, es ist aber zu erwarten das bald entsprechende Erkennungs- und Entfernungsmachanismen erscheinen werden.
Autor: Daniel
[pg]