Erstes 64-Bit-Rootkit in Aktion

Ein außerordentlich aggressives Rootkit für Windows-Systeme, welches schon früher unter den Namen Alureon, Tidserv oder TLD bekannt war, scheint nun als 64-Bit-Version sein Unwesen zu treiben. Angesichts der steigenden Anzahl an solchen Systemen schien dies nur eine Frage der Zeit zu sein.

Da eine immer größere Anzahl an Rechnern mit mindestens 4 GByte Arbeitsspeicher ausgestattet wird und daher mit einem 64-Bit Windows versehen werden, sind nun auch diese Architekturen in das Visier der Malware-Entwickler gerückt. Hatten bisher 64-Bit Systeme etwa den Vorteil, dass Versuche einen Buffer Overflow zu generieren aufgrund der andersartigen RAM-Adressierung ins Leere gingen, so wird dieser kleine Schutz vermutlich bald entschwunden sein.

Der Grund dafür liegt in der Vorgehensweise der neuesten Alureon-Version, die – wenn sie Administratoren-Rechte hat – ein neues, infiziertes MBR (Master Boot Record) installiert und dann einen Neustart erzwingt. Dieser ist nötig, weil neuere Windows-Betriebssysteme (Windows Vista 64-Bit und Windows 7 64-Bit) Schutzfunktionen für Codesignierungen und Kernel-Änderungen (Kernel Mode Code Signing und Kernel Patch Protection) besitzen, die eine Adaptierung durch unsignierten Code verhindern.

Nach dem Neustart wird das modifizierte MBR geladen und das Kernel-Modul des Schädlings kann ungestört sein – zumeist eher unerfreuliches – Werk beginnen.

Noch soll der Schädling allerdings in einem Beta-Stadium sein, da es ihm unter Testbedingungen nicht in jedem Fall gelungen sein soll, Systeme vollständig zu infizieren. Dennoch ist es das erste 64-Bit-Programm dieser Art, das sich nun in freier Wildbahn befindet. Gegen Bezahlung waren schon zuvor 64-Bit-Tools wie „Whistler“ erhältlich.