Eine neue, native 64 Bit Version des in Deutschland am weitesten verbreiteten Rootkits Alureon enthält besonders listige Mechanismen, um die besonderen Schutzfunktionen der 64 Bit Versionen von Windows 7 und Vista aufzuheben.
Die neue Variante hebt die ansonsten zwingend vorgeschriebene Prüfung der digitalen Treibersignatur auf und und umgeht die Funktion Kernel PatchGuard, die das Einschleusen von Schadcode zusätzlich erschweren soll.
Dazu installiert sich das Rootkit, nachdem es einmalig mit Administratorrechten gestartet wurde, im MBR (Master Boot Record) der Festplatte. Beim nächsten Startvorgang werden dann sowohl die Treibersignaturprüfung ausgeschaltet als auch verschiedene Systembefehle umgeleitet, damit das Rootkit für das Nachladen weiterer Schadprogramme freie Bahn hat.
Die meisten Antivirenprogramme sind allerdings in der Lage, Alureon zu erkennen.
Die neue Variante hebt die ansonsten zwingend vorgeschriebene Prüfung der digitalen Treibersignatur auf und und umgeht die Funktion Kernel PatchGuard, die das Einschleusen von Schadcode zusätzlich erschweren soll.
Dazu installiert sich das Rootkit, nachdem es einmalig mit Administratorrechten gestartet wurde, im MBR (Master Boot Record) der Festplatte. Beim nächsten Startvorgang werden dann sowohl die Treibersignaturprüfung ausgeschaltet als auch verschiedene Systembefehle umgeleitet, damit das Rootkit für das Nachladen weiterer Schadprogramme freie Bahn hat.
Die meisten Antivirenprogramme sind allerdings in der Lage, Alureon zu erkennen.