Rootkits im Master Boot Record (MBR)


startStartseite | gastbuch Gästebuch | kontakt Kontakt | protecus Protecus.de Forum | virus weltkarte Virus Weltkarte
Rootkits im Master Boot Record (MBR)

master boot record


Topics


Rootkits im Master Boot Record (MBR)

Panda Security meldet neue Trojaner-Exemplare, die aufgrund integrierter Rootkits in der Lage sind, den Master Boot Record (MBR) von infizierten Computern auszutauschen.



Masterbootrecord neuschreiben geht so:

XP:
XP CD einlegen -> Setup starten -> Wiederherstellungskonsole öffnen -> fixmbr eingeben.

Vista:
Vista CD einlegen -> Setup starten -> Sprache auswählen -> Computerreparaturoptionen auswählen -> Partition auswählen -> MSDOS Eingabeaufforderung öffnen -> bootrec /fixmbr eingeben.


Das ist laut Panda eine neue Eigenschaft von Rootkits, die eine Entdeckung der Malware erschwert. Bis dato hatten sich alle bekannten Rootkits in Systemprozessen eingenistet, während die neu entdeckten Rootkits sich auf einem Teil der Festplatte implementieren, der schon beim Bootvorgang - vor dem Start des Betriebssystems - aktiv ist.

Hat sich ein solches Rootkit auf einem System installiert, erstellt es eine Kopie des vorhandenen MBR.
Es verändert diesen, indem es schädliche Befehle einfügt, und ersetzt den Original-MBR durch den manipulierten. Bei einem Versuch, auf den MBR zuzugreifen, leitet das Rootkit auf den Original-MBR um, so dass nichts Verdächtiges erkannt wird.

Die Rootkits können auch Linux-Systeme infizieren. Besteht der Verdacht, dass ein solches Rootkit installiert ist, sollten betroffene Anwender ihre Rechner mit einer Boot-CD hochfahren, um den Master Boot Record zu umgehen. Um die schädliche Veränderung rückgängig zu machen, sollte der MBR anschließend mit dem systeminternen Tool - für (WinXP)
"fixmbr"
innerhalb der Windows-Recovery-Konsole zurückgesetzt werden.

mit der XP-CD starten. Da wählt man "Reparieren". ( Mit "Reparieren" wird die Wiederherstellungskonsole aufgerufen.)
Wenn man bei "C:\" - ist gibt man FIXMBR ein. Damit wird der Master-Boot-Record neu geschrieben.

Restaurieren MBR:

Restaurieren MBR Die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk einlegen und den Computer neustarten.

Startet der Computer nicht über die CD, müssen Sie im BIOS-Setup des PC die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.

Während dem Booten erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.

Beim ersten Bildschirm des Windows-Setup-Programms wählt man: "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.

folgenden Befehl eingeben:

fixmbr



MBR Rootkit detected Avast
avast führt einen Scann während des Bootvorganges durch

MBR Rootkit detected Programme: Rootkit-Abwehr

microsoftmanagementconsole MMC: microsoftmanagementconsole

MBR Rootkit detected Gmer - mbr.exe
http://virus-protect.org/artikel/tools/mbr.html
http://www2.gmer.net/mbr/mbr.exe - Download
http://www2.gmer.net/mbr - Originalseite mbr

MBR Rootkit detected Gmer
http://virus-protect.org/artikel/tools/gmer.html



MBR Rootkit detected MBR Rootkit detected



Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
Wenn der MBR infiziert ist:

MBR - infiziert:
http://virus-protect.org/artikel/tools/mbr.html

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0xe4f8121 size 0x2c3 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix

oder: alles in Ordnung....

mbr.log
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully




mbr Suchbegriff eingeben:
Benutzerdefinierte Suche







Wiederherstellungskonsole installieren:


Combofix - Erstellen der Windows Recovery Console Combofix - Erstellen der Windows Recovery Console
combofix-konsole



1. XP-CD einlegen

2. Auf Start->Ausführen klicken

3. X:\i386\winnt32.exe /cmdcons - eingeben, X= der Laufwerksbuchstabe für das CD-Rom

4. Installation mit JA bestätigen

5. Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows- Wiederherstellungskonsole"



Boot-Sector-Schutz in BIOS
Boot-Sector-Schutz
Boot Sector Virus. Protection
Virus Warning

Beim Start werden die Bootsektoren auf Veränderungen gegenüber dem letzten Start geprüft. Einstellmöglichkeiten: Enabled (ggf. wird eine Viruswarnung ausgegeben, bis sie mit Confirm bestätigt, bzw. ausgeschaltet (Disabled) wird), Confirm (Eine gewünschte Änderung im Bootsektor z.B. durch Neuinstallation eines Betriebssystems wird bestätigt.), Disabled (Es erfolgt keine Überprüfung der Bootsektoren.).



Valid HTML 4.01 Ranking-Hits