Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Noch kein Patch verfügbar

Alarm: Neue Rootkit-Variante versucht 64-Bit Windows-Systeme

Michael Nickles / 8 Antworten / Flachansicht Nickles

Im Februar wurde ein 17 Jahre altes Sicherheitsloch im Windows-Kernel entdeckt, das alle 32-Bit Versionen von Windows betraf. Microsoft Versuch das Steinzeit-Loch zu stopfen sorgte zunächst für Chaos.

Der veröffentlichte Patch konnte eine Windows-XP-Installation gnadenlos zerballern (siehe Alarm: Aktueller Microsoft-Patch kann XP grillen), wenn sie bereits von einem bestimmten Rootkit namens Alureon befallen waren.

Einem Bericht von Prevx macht eine Variante des Alureon-Rootkit namens TDL3 jetzt auch bei 64-Bit Windows-Systemen Stress. TDL3 soll sehr bösartig sein und sich im Masterbootrecord (MBR) der Systemfestplatten einnisten. Da sich TDL3 dort verschlüsselt einträgt, soll sich das Rootkit nur schwer erkennen lassen.

Die Entdecker des Rootkits befürchten, dass TDL3 für viel Ärger sorgen wird, da damit sozusagen das Herz von Windows direkt angreifbar ist. Microsoft und Sicherheitsexperten untersuchen die Sachlage aktuell, einen Patch gibt es allerdings noch nicht. Auch Methoden, wie sich ein von TDL3 verseuchtes System reinigen lässt, sind noch nicht bekannt.

Prevx weist immerhin auf die einzige Chance hin, einen Befall durch TDL3 zu vermeiden. Wenn ein Windows mit eingeschränkten Benutzerrechten oder mit aktivierter Benutzerkontensteuerung (UAC) gefahren wird, kann sich TDL3 nicht einnisten. Für viele, die auf diese Sicherheitsvorkehrungen verzichtet haben, dürfte es allerdings böse aussehen.

Es wird vermutet, dass sich die gerade erst entdeckte Alureon-Variante bereits auf vielen Systemen verbreitet hat.

Michael Nickles meint: Das grausame bei solchen Löchern ist ja (wie schon öfter gesagt), dass man eigentlich keine Chance hat, sich davor zu schützen. Wenn ich mir so angucke, wie viele Sicherheits-Patches es dauernd gibt, wird "Schutz-Software" zunehmend witzlos.

Zumindest sollte man sich drüber klar sein, dass eine Schutz-Software keine wirkliche Lebensversicherung für Daten sind.

bei Antwort benachrichtigen
Hühnerschregga Michael Nickles „Alarm: Neue Rootkit-Variante versucht 64-Bit Windows-Systeme“
Optionen

Aus solchen Gründen bin ich froh, dass ich die nervige UAC angelassen habe - wenn auch auf niedrigster Stufe...

Was ich mich trotzdem frage: Wie kommt ein Rootkit, Virus, ... durch eine Sicherheistlücke? Muss er vom unvorsichtigem Nutzer dazu bewegt werden, geschieht dies ohne jegliches zutun, oder muss jemand von außen aktiv schubsen?

@günter: auf der Microsoft-seite steht, dass das Rootkit selbst keine Symptome verursacht. Ich denke, es wird "nur" Tür und Tor für alles öffnen oder auf einen Befehl warten...

Mfg, Hühnerschregga

bei Antwort benachrichtigen