Eine modifizierte Ausgabe eines schon lange bekannten Rootkits ist nun auch bei 64-Bit-Versionen von Windows in der Lage, die Sicherheitsmechanismen zu umgehen. Der neue Rootkit werde bereits aktiv von Angreifern eingesetzt.
Nach
Angaben des Sicherheitsdienstleisters Prevx handelt es sich um eine neue Variante des "Alureon", "TDL" oder auch "Tidserv" genannten Rootkits, die nun auch 64-Bit-Windows-Systeme attackieren kann. Es sei das erste Mal, dass sich ein 64-Bit-kompatibler Kernel-Mode-Root-Kit verbreite, so das Unternehmen.
Derzeit werde die Schadsoftware über Porn-Websites und Exploit-Kits verbreitet, nachdem der neue Rootkit vor gut einer Woche erstmals entdeckt wurde. Eine frühere Version hatte im Februar für massive Probleme gesorgt, weil ein Patch für die 32-Bit-Ausgabe von Windows zu Bluescreen-Abstürzen führte.
Eigentlich sollte mit dem Update MS10-015 eine 17 Jahre alte Kernel-Lücke in Windows beseitigt werden, doch bei Systemen, die mit dem Alureon-Rootkit infiziert waren, sorgte der Patch für Bluescreens, so dass sie sich nicht mehr starten ließen. Microsoft setzte daraufhin die Auslieferung des Updates aus, um eine Funktion zu integrieren, die die Installation bei infizierten Rechnern verhinderte.
Bisher konnte Alureon nur 32-Bit-Systeme erfolgreich infizieren, doch die neue Version ist nun auch in der Lage, das Kernel Mode Code Signing und die Kernel Patch Protection der 64-Bit-Versionen von Windows zu umgehen. Der Rootkit verändert nach Angaben von Prevx den Master Boot Record (MBR) der Festplatte, um seine wichtigsten Teile in verschlüsselter Form ablegen zu können.
Dadurch wird die Erkennung und Entfernung deutlich erschwert, sobald ein Computer einmal infiziert ist. Während der Infektion lässt das Rootkit den PC neu starten und lädt dann aus dem MBR Boot-Sektor eine Hintertür, die theoretisch den Zugriff auf den Rechner durch Dritte ermöglicht. Nach Einschätzung von Prevx sorgt die zunehmende Verbreitung von 64-Bit-Systremen dafür, dass der neue Rootkit schnell zu einer ernstzunehmenden Gefahr werden könnte.
Empfohlen: 
Neuer Rootkit infiziert 64-Bit-Ausgabe von Windows 
Linear-Darstellung
