Viren & Trojaner

16.04.2009 07:01

Neues Rootkit spioniert sehr gut getarnt Daten aus

Viren & Trojaner Das Sicherheitsunternehmen Prevx hat vor einer neuen Variante des Rootkits Mebroot gewarnt. Diese soll sich aktuell ausbreiten und über ausgefeilte Methoden verfügen, sich vor der Entdeckung durch Security-Software zu schützen.

Verbreitet wird die Malware über manipulierte Webseiten. Mehrere tausend Online-Angebote will Prevx schon entdeckt haben, über die der Schadcode ausgeliefert wird. Werden die Seiten auf einem anfälligen Computer geladen, infiziert das Rootkit den Master Boot Record (MBR).


Wenn Virenscanner den MBR anschließend Scannen, finden sie in der Regel keinerlei Hinweise auf eine Infektion. Beim Starten von Windows kopiert das Rootkit dann aber einen Prozess namens svc.host in den Arbeitsspeicher. Dieser hat die Aufgabe, Daten zu sammeln und an einen Server im Internet zu übermitteln.

Angreifer können so beispielsweise die Eingabe von Logins für das Online-Banking und andere sensible Informationen ausspionieren. Nach Angaben der Sicherheitsexperten ist dabei auch der Versand der Daten gut getarnt und kann nur schwer mit entsprechenden Netzwerk-Tools festgestellt werden. Da die Kommunikation über den herkömmlichen WWW-Port erfolg, helfen auch Firewalls kaum.

Die verschiedenen Sicherheitsunternehmen arbeiten derzeit an Updates für ihre Antiviren-Produkte, um die neue Mebroot-Variante aufspüren zu können. Die erste Fassung des Rootkits erschien im Dezember 2007 und war noch deutlich weniger ausgeklügelt.

Christian Kahle

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] drmirage am 16.04.09 07:31 Uhr
(-1
ich denke, hätte man das Sicherheitskonzept durchgezogen dann wären solche Probleme erst garnet aufgetreten Rootkits in Verbindung mit Schadcode is ja wohl der ober Hammer..... EDIT: über das bzw. die Minuse kann ich nur schmunzeln *gg*
Bearbeitet am 16.04.09 um 08:43 Uhr.
 
[re:1] Knarzi am 16.04.09 07:39 Uhr
(+1
@drmirage: Von was für einem Sicherheitskonzept redest du jetzt bitte? Und welchen Sinn hätten RootKits, wenn sie keinen Schadcode nutzen würden? Nur gut aussehen sollen die bestimmt nicht.
 
[re:2] drmirage am 16.04.09 07:47 Uhr
(+5
@Knarzi: 1. Rootkits sind nichts neues und Stammen ursprünglich aus Unix Zeiten, für Windows User sind sie unangebracht, soweit vom Nutzen, d.h. Rootkit bei Windows bedeutet eigentlich immer was schlechtes, jedoch is ein Rootkit ansicht nichts verkehrtes..., nur weil viele keinen Nutzen sehen heißt es nicht das keiner vorhanden ist 2. mit Sicherheitskonzept meine auch Speziel XP, Standardmäßig als Admin unterwegs zu sein, kann nie sicher sein, Microsoft hatte die Idee vom Eingeschränkten Konto... leider wurde das nie vernünftig umgesetzt (Bordeigenmittel von Windows sind eine Qual für Engeschränkte Konten), unter Linux ist es z.B. gang und gebe mit Benutzer Konten zu Arbeiten und mit Admin Konto Software oder Treiber zu installen Mit einem Eingeschränkten Konto werden angriffspunkte zumindest reduziert und Rootkits können dann auch nicht mehr viel anrichten
Bearbeitet am 16.04.09 um 08:01 Uhr.
 
[re:3] Knarzi am 16.04.09 09:34 Uhr
(-2
@drmirage: Alles gute hat nun mal auch Mißbrauchspotienzial. Und die ersten Rootkits in der Unix-Ecke waren nun mal dazu gedacht, Einbruchsspuren zu verschleiern. Und Rootkits sind auch heute noch im Linux/Unix-Umfeld das Hauptproblem, besonders im Serverumfeld. Und genau da zeigt sich eben, dass nicht nur das System Sicherheit gewährleistet, sondern der Admin, bzw. die darauf laufende Software. Scheinbar scheint dir dieser Bericht entgangen zu sein: http://tinyurl.com/2kb7fo In den meisten Fällen wird nach dem Einbruch ein Rootkit installiert um auch weiterhin die Kontrolle zu behalten. Vielleicht mag es bei Desktopsystem im Linuxbereich etwas schwerer sein, dank unbedarfter User im Endeffekt genauso einfach. Und deshalb immer die selben schwachsinnigen Diskusionen um ein Sicherheitskonzepzt anzufangen kannst du stecken lassen. Der "DAU" würde auch unter Linux sein Passwort eingeben, wenn in der Mail was von dicken Titten steht. Wie Einstein schon sagte, die Dummheit der Menschen ist unendlich.
 
[re:4] seaman am 16.04.09 11:21 Uhr
 
@drmirage: Seit Vista arbeitet aber jeder Standardmäßig nicht mehr mit Admin-Rechten. Das Problem bei der ganzen Geschichte ist nur, dass das MS nicht konsequent genug umgesetzt hat. Zum Beispiel reicht es standardmäßig bei Vista aus (wenn ein Programm Admin-rechte benötigt und das UAC-Fenster aufgeht) einfach nur Ok zu drücken. Standardmäßig wird nicht das Admin-Kennwort abgefragt. Ausserdem finde ich es nicht gut, dass selbst ein DAU in der Lage ist die UAC bzw. Benutzerkontensteurung zu deaktivieren. Ich hoffe, dass sie bei Windows 7 (habs bisher noch nicht getestet) die UAC konsequenter umsetzen.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Neueste Downloads

Mehr Downloads

Beliebt im Preisvergleich

Antivirus Preisvergleich

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Christian Kahle

Redakteur bei WinFuture

Ich empfehle ...
Christian Kahle

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
[Update] Windows 7 (64-Bit-Version) & Apple Safari: Details zur Schwachstelle 23.12.2011
Microsoft-Sicherheitsupdates im Dezember 14.12.2011
Sicherheitsupdates Dezember 2011 13.12.2011
Vorankündigung: Sicherheitsupdates Dezember 2011 08.12.2011
Mitmachen & mitgewinnen: der Windows Phone Adventskalender 01.12.2011
MSDN Magazin im November 01.12.2011
Cloud Computing: Vertrauensstellungsverwaltung in virtuellen Datencentern 01.12.2011
Schwerpunkt Dienstprogramme: Sicherer Zugriff, sichere Systeme 01.12.2011
Vortrag: "Rechtssicherheit mit der Cloud" 22.11.2011
Sicherheitsempfehlung: Zertifikaten von DigiCert Sdn. Bhd. wird nicht länger vertraut 10.11.2011
Microsoft-Sicherheitsupdates im November 09.11.2011
Sicherheitsupdates November 2011 08.11.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.