64-Bit-Rootkit spioniert Onlinebanking aus

"Banker" nutzt ein Microsoft-Tool, um die Kernel Patch Protection eines 64-Bit-Windows zu umgehen und seinen Treiber im System zu verankern.

In Pocket speichern vorlesen Druckansicht 241 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Der Antivirenhersteller Kaspersky hat ein weiteres Rootkit mit 64-Bit-Unterstützung entdeckt: Eine Variante des Banker-Rootkits hat es auf die Zugangsdaten brasilianischer Onlinebanking-Kunden abgesehen. Der Schädling wird durch eine Lücke in einer veralteten Java-Version ins System eingeschleust und deaktiviert zunächst die Benutzerkontensteuerung (UAC) von Windows, um ungestört sein Werk verrichten zu können. Anschließend installiert er gefälschte Wurzelzertifikate und ändert die HOSTS-Datei, wodurch das Opfer beim Besuch der Bankenwebsite auf eine von den Betrügern betriebene Phishing-Seite umgeleitet wird. Durch das installierte Zertifikat gibt der Browser beim Aufbau der verschlüsselten Verbindung zur Phishing-Seite keine Warnmeldung aus, und das Opfer schöpft keinen Verdacht. Anschließend löscht der Schädling laut Kaspersky noch ein Sicherheitsplugin, das von einigen brasilianischen Banken verwendet wird.

Ungewöhnlich ist, dass die Malware für die Deinstallation des Sicherheitsplugins und die Modifikation des HOSTS-Datei einen eigenen Treiber im System verankert. Dies ist unter einem 64-Bit-Windows mit einigem Aufwand verbunden, da Microsofts Kernel Patch Protection (PatchGuard) die Installation unsignierter Treiber verhindert. Da 64-Bit-Installationen von Windows zudem einen recht geringen Marktanteil haben, sind Rootkits mit 64-Bit-Unterstützung derzeit noch eine seltene Erscheinung. Im November vergangenen Jahres wurde etwa eine 64-Bit-Version des Alureon/TDL-Rootkits gesichtet.

Unerwartete Schützenhilfe: Das Microsoft-Tool bcdedit.exe erlaubt es dem Rootkit, die Kernel Patch Protection eines 64-bit-Windows zu umgehen.

(Bild: Kaspersky Lab)

Ähnlich wie Alureon nutzt Banker einen für Entwickler gedachten Testmodus, um PatchGuard zu umgehen: Der Schädling aktiviert mit Hilfe des Microsoft-Tools bcdedit.exe die TESTSIGNING-Option, wodurch Windows klaglos das Testzertifikat des Rootkit-Treibers plusdriver64.sys akzeptiert. Den TESTSIGNING-Modus hat Microsoft eigentlich als Hintertür für Entwickler in Windows integriert, die ihre eigenen Treiberkreationen auf einem 64-Bit-System testen wollen, noch bevor diese endgültig signiert sind. Er existiert seit Vista in den 64-bittigen Windows-Versionen. (rei)