Erster Root-Schädling für 64-Bit-Windows

Sicherheitsexperten warnen vor dem ersten Rootkit, das auch Windows-Systeme mit 64-Bit-Architektur befällt. Forscher der Sicherheitsfirma Prevx haben eine neue Version des Schädlings TDL3 aufgespürt. Das TDL3-Rootkit wurde im Februar einer breiteren Öffentlichkeit bekannt, als es - damals noch unter dem Namen Alureon - dafür verantwortlich war, dass ein Microsoft-Sicherheitsupdate bei einigen Nutzern einen Bluescreen verursachte. Wie sich herausstellte, stürzten bei der Installation des Updates jene PCs ab, die mit dem Alureon-Rootkit infiziert waren. Microsoft veränderte seinen Patch daraufhin so, dass die Software zunächst prüfte, ob der Rechner frei von dem Rootkit war, bevor der Patch installiert wurde. Der Schädling spioniert den Netzwerkverkehr aus und sucht dort nach Benutzernamen, Passwörtern und Kreditkartendaten.

Fachleute sehen das Auftauchen des 64-Bit-Rootkits mit großer Sorge, hatte man doch 64-Bit-Systeme bislang für sicher gehalten. Die Gründe liegen im Zugang zum Kernelspeicher, den 64-Bit-Systeme sehr viel restriktiver handhaben - nur Treiber, die einem strengen Signatur-Check standhalten, erhalten Zugang zu diesem sensiblen Bereich des Betriebssystems. Der so genannte "Patch Guard" sorgt bei 64-Bit-Systemen zudem dafür, dass ein Treiber keine Änderungen am Kernel vornehmen kann. Das TDL3-Rootkit schmuggelt sich an beiden Kernel-Wächtern vorbei, indem es den Master Boot Record modifiziert. Mit dem Wissen, dass das Rootkit die x64-Schutzmechanismen außer Kraft setzt, ist die Sicherheit der 64-Bit-Systeme dahin. Experten fürchten, in Bezug auf 64-Bit-Schadsoftware sei damit die Büchse der Pandora geöffnet.