Rootkit hebelt Kernel-Schutz und Treibersignierung von 64-Bit-Windows aus

Die 64-Bit-Version des Rootkits/Bots Alureon ist in der Lage, die besonderen Sicherheitsmaßnahmen der 64-Bit-Versionen von Windows 7 und Vista auszuhebeln und sich im System einzunisten. Die benutzten Tricks sind zwar seit mehreren Jahren theoretisch bekannt, bis vor Kurzem hat sie aber noch kein Schädling in der Praxis eingesetzt. Die 32-Bit-Version des Rootkits Alureon machte bereits Anfang des Jahres von sich Reden, als zahlreiche 32-Bit-Windows-Systeme nach einem Patch von Microsoft nicht mehr booten wollte. Ursache war das bereits auf den Rechnern unbemerkt installierte Rootkit, das mit dem Patch enttarnt wurde.

Alureon, auch TDL genannt, deaktiviert in der 64-Bit-Version die Prüfung der Treibersignaturen und verbiegt bestimme API-Calls bereits beim Systemstart, um den Kernel-PatchGuard zu umgehen. Die Treibersignierung soll eigentlich sicherstellen, dass Windows nur Treiber bekannter Hersteller lädt. Daneben soll der PatchGuard den Betriebssystem-Kernel vor Manipulation durch Schadcode schützen.

Um Windows manipulieren zu können, schreibt sich Alureon in den Master Boot Record (MBR) der Platte – wozu er allerdings einmalig Administratorrechte benötigt. Da sich die Malware beispielsweise über Porno- und Crack-Seiten verbreiten soll, dürfte das Einholen dieser Rechte beim Anwender (per UAC) nur eine geringe Hürde darstellen.

Beim Schreiben in den MBR nutzt das Rootkit nicht die normale Windows-API – die ja ein Schutzprogramm überwachen könnte – sondern den IO-Befehl IOCTL_SCSI_PASS_THROUGH_DIRECT zum direkten Zugriff auf die Platte. Beim anschließenden Booten macht sich Alureon eine Option zunutze, mit der man bei Windows zu Testzwecken die Prüfung der Treibersignaturen abschalten kann; manuell lässt sich das im laufenden System mit bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS erreichen.

Alureon überschreibt die originalen Bootoptionen aber erst beim Start im Speicher, verbiegt dann die Startup-Routinen von Windows und lädt den eigentlichen Rootkit-Treiber. Damit kann es weitere Manipulationen vornehmen und beispielsweise Hooks in der Service Descriptor Table (SDT) verankern.

Mittlerweile kursiert Alureon nach Analysen von Antivirenherstellern bereits in der vierten Generation und enthält Maßnahmen, um seine Analyse mit Debuggern zu erschweren. Laut Microsoft ist Alureon in Deutschland das am häufigsten beobachtete Rootkit. In Microsoft Security Essentials sind seit August Signaturen enthalten, um Alureon aufzuspüren.

Alternativ soll sich das Rootkit auch manuell aufspüren lassen: Fehlen bei der Anzeige der Laufwerke mit dem Kommandozeilen-Tool diskpart einige oder alle, so kann das ein Hinweis auf eine Infektion sein. (dab)