Russen-Virus umgeht Windows PatchGuard

Baron · 11.03.2014, 21:43

Seit einiger Zeit treibt ein neuer Computerschädling sein Unwesen. Als Urheber der Uroburos getauften Malware werden russische Geheimdienstkreise vermutet.

Das Spionageprogramm Uroburos wurde von den G Data SecurityLabs entdeckt. Weitere Analysen zeigen nun, dass es sich um komplexe und hochentwickelte Schadsoftware für High-Profile-Netzwerke handelt.
Konkret untersuchten die G Data SecurityLabs , wie Rechner mit dem Rootkit infiziert werden. Die Experten fanden dabei heraus, dass die Schadcodeentwickler eine neue Kombination von Techniken anwenden, mit denen der Schädling zentrale Sicherheitsmechanismen im Kern von Windows 64-Bit-Systemen, dem sogenannten Kernel überwindet. Die vollständige Analyse ist im G-Data-Security-Blog verfügbar.
Windows PatchGuard ausgehebelt

Einmal auf dem PC eingeschleust, überwindet Uroburos die sogenannte Kernel Patch Protection – auch PatchgGuard genannt - die das Herzstück von Windows 64-Bit-Betriebssystemen absichert und Veränderungen an diesem verhindern soll. Der Schadcode manipuliert den Kernel und versetzt ihn in den «Test Modus». Das Rootkit kann sich dort ungehindert einnisten und wird vom Betriebssystem als valider Systemtreiber akzeptiert. Dieser «Test Modus» ist für Treiber-Entwickler gedacht, die so auch unsignierte Treiber verwenden können, um sie während der Entwicklungsphase zu überprüfen. Die Schadcode-Autoren nutzen das Verfahren, um die Treiber-Verifizierungen zu deaktivieren. Uroburos kann so direkt als Treiber in den Betriebssystemkern eingeschleust werden, um dort sensible Daten auszuspionieren.

http://www.computerworld.ch/news/sec...mpaign=RSSFeed

11.03.2014, 21:43	#1
Baron Der Unvergleichliche Registriert seit: 18.07.2002 Ort: Wien- wo sonst? Alter: 66 Beiträge: 10.166 Mein Computer	Russen-Virus umgeht Windows PatchGuard Seit einiger Zeit treibt ein neuer Computerschädling sein Unwesen. Als Urheber der Uroburos getauften Malware werden russische Geheimdienstkreise vermutet. Das Spionageprogramm Uroburos wurde von den G Data SecurityLabs entdeckt. Weitere Analysen zeigen nun, dass es sich um komplexe und hochentwickelte Schadsoftware für High-Profile-Netzwerke handelt. Konkret untersuchten die G Data SecurityLabs , wie Rechner mit dem Rootkit infiziert werden. Die Experten fanden dabei heraus, dass die Schadcodeentwickler eine neue Kombination von Techniken anwenden, mit denen der Schädling zentrale Sicherheitsmechanismen im Kern von Windows 64-Bit-Systemen, dem sogenannten Kernel überwindet. Die vollständige Analyse ist im G-Data-Security-Blog verfügbar. *Windows PatchGuard ausgehebelt* Einmal auf dem PC eingeschleust, überwindet Uroburos die sogenannte Kernel Patch Protection – auch PatchgGuard genannt - die das Herzstück von Windows 64-Bit-Betriebssystemen absichert und Veränderungen an diesem verhindern soll. Der Schadcode manipuliert den Kernel und versetzt ihn in den «Test Modus». Das Rootkit kann sich dort ungehindert einnisten und wird vom Betriebssystem als valider Systemtreiber akzeptiert. Dieser «Test Modus» ist für Treiber-Entwickler gedacht, die so auch unsignierte Treiber verwenden können, um sie während der Entwicklungsphase zu überprüfen. Die Schadcode-Autoren nutzen das Verfahren, um die Treiber-Verifizierungen zu deaktivieren. Uroburos kann so direkt als Treiber in den Betriebssystemkern eingeschleust werden, um dort sensible Daten auszuspionieren. http://www.computerworld.ch/news/sec...mpaign=RSSFeed

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)