Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Ratgeber Verbraucherinfos Update im Fall Uroburos: Schädling nutzt neue Technik um Windows-Kernel-Schutz zu umgehen

Update im Fall Uroburos: Schädling nutzt neue Technik um Windows-Kernel-Schutz zu umgehen

Archivmeldung vom 08.03.2014

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 08.03.2014 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt
G Data: Hochkomplexe Spionagesoftware nutzt neue Techniken, um den Windows-Kernel-Schutz zu umgehen. Grafik: "obs/G Data Software AG"
G Data: Hochkomplexe Spionagesoftware nutzt neue Techniken, um den Windows-Kernel-Schutz zu umgehen. Grafik: "obs/G Data Software AG"

Das von G Data entdeckte Spionageprogramm Uroburos hat in weiteren Analysen seinen Status als komplexe und hochentwickelte Schadsoftware für High-Profile-Netzwerke weiter untermauert. Die G Data SecurityLabs untersuchten, wie Rechner mit dem Rootkit infiziert werden. Die Experten fanden dabei heraus, dass die Schadcodeentwickler eine neue Kombination von Techniken anwenden, mit denen der Schädling zentrale Sicherheitsmechanismen im Kern von Windows 64-Bit-Systemen, dem sog. Kernel überwindet.

Die vollständige Analyse ist im englischen G Data SecurityBlog unter http://blog.gdatasoftware.com/blog.html verfügbar.

Windows "PatchGuard" ausgehebelt

Einmal auf dem PC eingeschleust, überwindet Uroburos die sogenannte Kernel Patch Protection - auch PatchgGuard genannt - die das Herzstück von Windows 64-Bit-Betriebssystemen absichert und Veränderungen an diesem verhindern soll. Der Schadcode manipuliert den Kernel und versetzt ihn in den "Test Modus". Das Rootkit kann sich dort ungehindert einnisten und wird vom Betriebssystem als valider Systemtreiber akzeptiert.

Dieser "Test Modus" ist für Treiber-Entwickler gedacht, die so auch unsignierte Treiber verwenden können, um sie während der Entwicklungsphase zu überprüfen. Die Schadcode-Autoren nutzen das Verfahren, um die Treiber-Verifizierungen zu deaktivieren. Uroburos kann so direkt als Treiber in den Betriebssystemkern eingeschleust werden, um dort sensible Daten auszuspionieren.

Die Analyse ist im G Data SecurityBlog verfügbar unter: http://ots.de/tt1fj

Quelle: G Data Software AG (ots)

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte abhang in folgendes Feld um den Spam-Filter zu umgehen

Anzeige