#1 13. März 2006 Proof of Concept der nächsten Rootkit-Generation Forscher der Uni Michigan und Microsoft haben mit SubVirt möglicherweise die nächste Generation von Rootkits entwickelt. Während sich gängige Rootkits in einem bestehenden System einnisten und die Spuren ihres Vorhandenseins vor dem Anwender verbergen, geht SubVirt einen Schritt weiter: es installiert sich unterhalb des bestehenden Systems. Das Betriebssystem des Opfers wird anschließend auf einer virtuellen Maschine ausgeführt, welches keinen Zugriff mehr auf das Wirtssystem erlaubt. Mit der VM-Technologie konnten die Forscher sowohl WinXP- wie auch Linuxmaschinen kompromittieren und insgesant für vier Angriffsmethoden Proof of Concepts realisieren: einen Phishing-Webserver, einen Keylogger, eine Spyware, welche das infizierte System nach sensiblen Informationen scannt sowie ein Abwehrtool für gängige VM-Detektorsysteme. Virtuelle Maschinen werden in der Regel zum Betreiben mehrerer Betriebssysteme auf einem Rechner verwendet - was sie beispielsweise im Serverbereich zu einer attraktiven Möglichkeit des Hostens mehrerer Server auf einer physikalischen Maschine machen, welche sich gegenseitig nicht in der Funktion beeinträchtigen können. Die Gefährdung durch die nun beschriebene Technik sei sehr real, so die Forscher: Einer der Entwickler habe versehentlich an einem infizierten System gearbeitet, ohne zu bemerken, nur noch an einer VM zu sitzen, auf welcher das eigentlich verwendete OS lief. Gegenmaßnahmen sehen die Forscher vor allem in einer verbesserten Hardwareerkennung und -diagnose, die den emulierten Status eines infizierten Systems erkennen. quelle: gulli untergrund news + Multi-Zitat Zitieren