Mydoom-Wurm mit neuartigem Rootkit

Die Verbreitung von Gurong.a erfolgt per Mail und über das P2P-Netzwerk von Kazaa. Die Mails tragen einen unauffälligen Betreff wie etwa "Greetings!", "Hello friend ;)", "Hey dear!" oder "Re: Hello". Die Dateinamen der Mail-Anhänge reichen von "body.bat" über "document.pif" bis "sex_pics.scr". Über Kazaa verbreitet sich Gurong mit Dateinamen wie zum Beispiel "0day_patch.exe", "skype_video.scr" oder "xp_activation.pif".

Wird der Wurm ausgeführt, kopiert er sich zunächst als "wmedia16.exe" in das Systemverzeichnis von Windows. Er legt dann einen Registry-Eintrag an, damit diese Datei bei jedem Start von Windows ausgeführt wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WMedia16 = %System%\wmedia16.exe

Dabei steht %System% für das Systemverzeichnis, also etwa "C:\Windows\System32". Die von Gurong.a verwendete Rootkit-Technik benutzt ein so genanntes "Call Gate", um Befehle aus dem Adressbereich des angemeldeten Benutzers in den Kernel von Windows zu senden. Dadurch kann Gurong.a Dateien, Prozesse und Registry-Einträge verbergen, ohne einen speziellen Treiber zu installieren, wie dies andere Kernel-Rootkits tun.

Ein Call Gate ist ein spezieller Mechanismus in x86-Prozessoren, der es erlaubt, vordefinierte Befehle mit Systemrechten auszuführen. So ist der Programmcode zum Verstecken von Dateien und Prozessen Teil des mit den Rechten des Benutzers laufenden Programms wmedia16.exe. Er kann jedoch mit Systemrechten Objektstrukturen manipulieren und Zeiger umbiegen, ohne dass der Benutzer die Rechte eines Administrators haben muss.

Nach Angaben von F-Secure ist Gurong.a in freier Wildbahn gesichtet worden, verbreitet sich jedoch eher langsam. F-Secures Rootkit-Detektor "Blacklight" soll Gurong.a entdecken und entfernen können. (PC-Welt/mja)