1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Neues Rootkit spioniert sehr gut getarnt Daten aus

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von TheUntouchable, 16. April 2009.

  1. TheUntouchable
    Offline

    TheUntouchable Board Guru

    Registriert:
    17. Dezember 2008
    Beiträge:
    1.476
    Zustimmungen:
    553
    Punkte für Erfolge:
    113
    Ort:
    München
    Das Sicherheitsunternehmen Prevx hat vor einer neuen Variante des Rootkits Mebroot gewarnt. Diese soll sich aktuell ausbreiten und über ausgefeilte Methoden verfügen, sich vor der Entdeckung durch Security-Software zu schützen.

    Verbreitet wird die Malware über manipulierte Webseiten. Mehrere tausend Online-Angebote will Prevx schon entdeckt haben, über die der Schadcode ausgeliefert wird. Werden die Seiten auf einem anfälligen Computer geladen, infiziert das Rootkit den Master Boot Record (MBR).

    Wenn Virenscanner den MBR anschließend Scannen, finden sie in der Regel keinerlei Hinweise auf eine Infektion. Beim Starten von Windows kopiert das Rootkit dann aber einen Prozess namens svc.host in den Arbeitsspeicher. Dieser hat die Aufgabe, Daten zu sammeln und an einen Server im Internet zu übermitteln.

    Angreifer können so beispielsweise die Eingabe von Logins für das Online-Banking und andere sensible Informationen ausspionieren. Nach Angaben der Sicherheitsexperten ist dabei auch der Versand der Daten gut getarnt und kann nur schwer mit entsprechenden Netzwerk-Tools festgestellt werden. Da die Kommunikation über den herkömmlichen WWW-Port erfolg, helfen auch Firewalls kaum.

    Die verschiedenen Sicherheitsunternehmen arbeiten derzeit an Updates für ihre Antiviren-Produkte, um die neue Mebroot-Variante aufspüren zu können. Die erste Fassung des Rootkits erschien im Dezember 2007 und war noch deutlich weniger ausgeklügelt.

    Quelle:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

     
    #1

Diese Seite empfehlen