Ein weiteres Rootkit mit 64-Bit-Unterstützung hat der Antivirenhersteller Kaspersky entdeckt. Auf die Zugangsdaten brasilianischer Onlinebanking-Kunden hat es eine Variante des Banker-Rootkits abgesehen. Durch eine Lücke in einer veralteten Java-Version wird der Schädling ins System eingeschleust und deaktiviert zunächst die Benutzerkontensteuerung (UAC) von Windows. Er installiert gefälschte Wurzelzertifikate und ändert die HOSTS, wodurch das Opfer beim Besuch der Bankenwebsite auf eine von den Betrügern betriebene Phishing-Seite umgeleitet wird. Der Browser gibt durch das installierte Zertifikat beim Aufbau der verschlüsselten Verbindung zur Phishing-Seite keine Warnmeldung aus. Laut Kaspersky löscht der Schädling anschließend noch ein Sicherheitsplugin, das von einigen brasilianischen Banken verwendet wird.

Das die Malware für die Deinstallation des Sicherheitsplugins und die Modifikation der HOSTS einen eigenen Treiber im System verankert ist ungewöhnlich. Unter einem 64-Bit-Windows ist dies mit einigem Aufwand verbunden, da Microsofts Kernel Patch Protection die Installation unsignierter Treiber verhindert. Derzeit sind Rootkits mit 64-Bit-Unterstützung noch eine seltene Erscheinung, da 64-Bit-Installationen von Windows zudem einen recht geringen Marktanteil haben.

Banker nutzt einen für Entwickler gedachten Testmodus, um PatchGuard zu umgehen. Mit Hilfe des Microsoft-Tools bcdedit.exe aktiviert der Schädling die TESTSIGNING-Option, wodurch Windows klaglos das Testzertifikat des Rootkit-Treibers plusdriver64.sys akzeptiert. Eigentlich hat Microsoft den TESTSIGNING-Modus als Hintertür für Entwickler in Windows integriert, die ihre eigenen Treiberkreationen auf einem 64-Bit-System testen wollen, noch bevor diese endgültig signiert sind.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE