Cyberkriminelle verlegen sich vom MBR auf NTFS-Bootsektor

In letzter Zeit wird die Modifizierung der Festplattenbereiche, die für das Hochfahren des Systems verantwortlich sind, unter Cyberkriminellen immer beliebter. Und während wir es früher nur mit einer Veränderung des MBR (Master Boot Record) zu tun hatten, so haben sich die Virenschreiber nun auf die Infizierung des Bootcodes des NTFS-Sektors verlegt.

Vor Kurzem haben wir einen interessanten Schädling entdeckt, und zwar Cidox. Seine Besonderheit besteht darin, dass er den Code des Bootbereichs des Bootsektors auf der Festplatte infiziert.

Die Hauptdatei von Trojan-Dropper.Win32.Cidox hat zwei Rootkit-Treiber an Bord (Rootkit.Win32/Win64.Cidox). Der eine ist unter der 32-Bit-Plattform der andere unter der 64-Bit-Plattform kompiliert.

Die Quellkomponente von Cidox modifiziert den Anfangsbereich der Festplatte:

  • Sie schreibt den entsprechenden Treiber in die freien Sektoren am Anfang der Festplatte.
  • Für die Infizierung wählt sie einen Abschnitt aus, der in der Sektorentabelle im MBR als Bootsektor vermerkt ist. Wichtig dabei ist, dass nur Sektoren mit dem Dateisystem NTFS infiziert werden.
  • Sie schreibt einen Teil ihres Codes über den Bereich Extended NTFS IPL (Initial Program Loader), der für die Analyse der MFT (Master File Table), die Suche der Boot-Datei im Kernelverzeichnis des Sektors (ntldr — bis Vista, bootmgr — Vista+), das Lesen dieser Datei von der Festplatte und die Übergabe der Steuerung an diese Datei verantwortlich ist. Dabei wird der Originalinhalt von Extended NTFS IPL in verschlüsselter Form gespeichert und ans Ende des schädlichen Codes geschrieben.



Fragment des Anfangsbereichs einer mit Cidox infizierten Festplatte (detektiert als Rootkit.Boot.Cidox)

Beim nächsten Hochfahren des Systems wird der schädliche Code des Bootsektors aufgerufen. Er lädt mit Hilfe einer bekannten Technik – und zwar durch das Abfangen von Int 13h und einigen Windows-Kernelfunktionen – den schädlichen Treiber erfolgreich ins System. Der geladene Treiber kontrolliert mit Hilfe der Funktion PsSetCreateProcessNotifyRoutine den Start der folgenden Prozesse:

  • svchost.exe
  • iexplore.exe
  • firefox.exe
  • opera.exe
  • chrome.exe


Fragment des Rootkits Rootkit.Win32.Cidox, das die Zeilen mit den Namen der zu kontrollierenden Browser enthält

Wird der Start eines der oben aufgeführten Prozesse registriert, so wird eine weitere Coidox-Komponente in ihn eingeschleust, und zwar eine dynamische Bibliothek (Trojan.Win32.Cidox). Diese Bibliothek modifiziert jegliche Browser-Ausgabe, indem sie sie durch die eigene ersetzt. Als Folge wird dem Anwender im Browserfenster die Aufforderung angezeigt, seinen Browser zu aktualisieren, da im System angeblich die einen oder anderen Schadprogramme gefunden wurden. Im unten dargestellten Beispiel wird der Nutzer aufgefordert, seinen Browser auf Grund einer Infizierung mit dem trojanischen Programm Trojan.Win32.Ddox.ci zu aktualisieren.


Browser in einem mit Cidox infizierten System

Das „Update“ ist nun selbstverständlich nicht umsonst. Um es zu erhalten, muss der Anwender zunächst eine SMS an eine Kurznummer senden.

Für jeden gängigen Browser werden eigens erstellte Seiten verwendet.


Browserfenster in einem mit Cidox infizierten System

Wir weisen darauf hin, dass neue Browserversionen von den jeweiligen Seiten der Hersteller kostenlos zum Download bereit stehen. Cyberkriminelle versuchen lediglich, die Anwender zu erschrecken, um ihnen anschließend das Geld aus der Tasche zu ziehen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.