Rootkits im Master Boot Record (MBR)

• Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.



Masterbootrecord neuschreiben:

XP:
XP CD einlegen -> Setup starten -> Wiederherstellungskonsole öffnen -> fixmbr eingeben.

Vista:
Vista CD einlegen -> Setup starten -> Sprache auswählen -> Computerreparaturoptionen auswählen -> Partition auswählen -> MSDOS Eingabeaufforderung öffnen -> bootrec /fixmbr eingeben.

• Das ist laut Panda eine neue Eigenschaft von Rootkits, die eine Entdeckung der Malware erschwert. Bis dato hatten sich alle bekannten Rootkits in Systemprozessen eingenistet, während die neu entdeckten Rootkits sich auf einem Teil der Festplatte implementieren, der schon beim Bootvorgang - vor dem Start des Betriebssystems - aktiv ist.

• Hat sich ein solches Rootkit auf einem System installiert, erstellt es eine Kopie des vorhandenen MBR.
• Es verändert diesen, indem es schädliche Befehle einfügt, und ersetzt den Original-MBR durch den manipulierten. Bei einem Versuch, auf den MBR zuzugreifen, leitet das Rootkit auf den Original-MBR um, so dass nichts Verdächtiges erkannt wird.

• Die Rootkits können auch Linux-Systeme infizieren. Besteht der Verdacht, dass ein solches Rootkit installiert ist, sollten betroffene Anwender ihre Rechner mit einer Boot-CD hochfahren, um den Master Boot Record zu umgehen. Um die schädliche Veränderung rückgängig zu machen, sollte der MBR anschließend mit dem systeminternen Tool - für (WinXP)
"fixmbr"
innerhalb der Windows-Recovery-Konsole zurückgesetzt werden.

mit der XP-CD starten. Da wählt man "Reparieren". ( Mit "Reparieren" wird die Wiederherstellungskonsole aufgerufen.)
Wenn man bei "C:\" - ist gibt man FIXMBR ein. Damit wird der Master-Boot-Record neu geschrieben.


Restaurieren MBR:

Restaurieren MBR Die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk einlegen und den Computer neustarten.

Startet der Computer nicht über die CD, müssen Sie im BIOS-Setup des PC die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.

Während dem Booten erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.

Beim ersten Bildschirm des Windows-Setup-Programms wählt man: "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.

folgenden Befehl eingeben:

fixmbr


- Avast Avast führt einen Scann während des Bootvorganges durch
- Programme: Rootkit-Abwehr
- MMC: microsoftmanagementconsole
- Gmer - mbr.exe Datei Gmer/mbr.exe
- Download mbr.exe www2.gmer.net/mbr/mbr.exe
- Originalseite mbr www2.gmer.net
- Gmer-Seite: Gmer


MBR Rootkit detected MBR Rootkit detected

MBR Rootkit detected

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net


Wenn der MBR infiziert ist:

•MBR - infiziert: Rootkit im Master Boot Record

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix

oder: alles in Ordnung....

mbr.log
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
suche Suchbegriff eingeben
Benutzerdefinierte Suche

Werbung 

TuneUp
System warten PC-Probleme beheben Leistung steigern Windows anpassen optimale Leistung
gleich kaufen oder: kostenlose Testversion (30 Tage)laden TuneUp Utilities 2010 - Jetzt kaufen 
Anzeige

Windows 7
Softwareload - Ihr Download-Shop für Software 
Wiederherstellungskonsole
Combofix - Erstellen der Windows Recovery Console
Combofix-Konsole
Erstellen der Windows Recovery Console

1. XP-CD einlegen
2. Auf Start->Ausführen klicken

3. X:\i386\winnt32.exe /cmdcons

eingeben, X= der Laufwerksbuchstabe für das CD-Rom

4. Installation mit JA bestätigen

5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows- Wiederherstellungskonsole"


Boot-Sector-Schutz in BIOS
Boot-Sector-Schutz
Boot Sector Virus. Protection
Virus Warning

Beim Start werden die Bootsektoren auf Veränderungen gegenüber dem letzten Start geprüft. Einstellmöglichkeiten: Enabled (ggf. wird eine Viruswarnung ausgegeben, bis sie mit Confirm bestätigt, bzw. ausgeschaltet (Disabled) wird), Confirm (Eine gewünschte Änderung im Bootsektor z.B. durch Neuinstallation eines Betriebssystems wird bestätigt.), Disabled (Es erfolgt keine Überprüfung der Bootsektoren.).


virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam