Update im Fall Uroburos: Schädling nutzt neue Technik um den Windows-Kernel-Schutz zu umgehen
Neue G Data-Teilanalyse zeigt, wie das Rootkit Rechner infiziert
Das von G Data entdeckte Spionageprogramm hat in weiteren Analysen seinen Status als komplexe Schadsoftware für High-Profile-Netzwerke weiter untermauert. Die Experten der G Data SecurityLabs veröffentlichen weitere Details, wie Rechner mit dem Rootkit infiziert werden.
Windows „PatchGuard“ ausgehebelt
Einmal auf dem PC eingeschleust, überwindet Uroburos die sogenannte Kernel Patch Protection – auch PatchgGuard genannt - die das Herzstück von Windows 64-Bit-Betriebssystemen absichert und Veränderungen an diesem verhindern soll. Der Schadcode manipuliert den Kernel und versetzt ihn in den „Test Modus“. Das Rootkit kann sich dort ungehindert einnisten und wird vom Betriebssystem als valider Systemtreiber akzeptiert.
Dieser „Test Modus“ ist für Treiber-Entwickler gedacht, die so auch unsignierte Treiber verwenden können, um sie während der Entwicklungsphase zu überprüfen. Die Schadcode-Autoren nutzen das Verfahren, um die Treiber-Verifizierungen zu deaktivieren. Uroburos kann so direkt als Treiber in den Betriebssystemkern eingeschleust werden, um dort sensible Daten auszuspionieren.
Die Analyse zu Uroburos ist im G Data Security Blog verfügbar.
G DATA CyberDefense AG
Unternehmenskommunikation
Königsallee 178 • 44799 Bochum
Kathrin Beckert-Plewka
Public Relations Manager
Kathrin Beckert-Plewka
Phone: +49 234 9762 - 507
kathrin.beckert@gdata.de
Vera Haake
Pressesprecherin
Vera Haake
Phone: +49 234 9762 - 376
vera.haake@gdata.de
Stefan Karpenstein
Public Relations Manager
Stefan Karpenstein
Phone: +49 234 9762 - 517
stefan.karpenstein@gdata.de