Rootkit-Expertin entwickelt unsichtbare Malware

Auch Systeme, die unter Windows Vista x64 laufen, seien vor dieser Bedrohung nicht gefeit. Für den Prototyp namens ‘Blue Pill’ hat Rutkowska AMDs Virtualisierungstechnologie Pacifica benutzt, um einen ultradünnen Hypervisor zu entwickeln, der die volle Kontrolle über das darunter liegende Betriebssystem übernimmt.

Einen funktionierenden Prototyp für Windows Vista x64 wird Rutkowska während der SyScan-Konferenz in Singapur am 21. Juli und der Hacker-Konferenz Black Hat Anfang August in Las Vegas vorstellen. Das ist auch deshalb brisant, weil Microsoft erstmals an der Black-Hat-Konferenz teilnehmen wird – um die wesentlichen Sicherheits-Features von Vista vorzustellen.

Rutkowska sagt, ihre Präsentation werde sich mit einer “generischen Methode” beschäftigen, um beliebigen Code in einen Vista Beta 2 Kernel mit der x64-Version einzuschleusen, ohne auf ein Sicherheitsloch angewiesen zu sein.

Die Idee eines virtuelle Rootkits freilich ist nicht komplett neu. Forscher der Universität von Michigan haben gemeinsam mit Microsoft bereits ein Rootkit Namens ‘SubVirt’ entwickelt, das nahezu unmöglich zu entdecken ist, da die Sicherheitssoftware eines Systems nicht darauf zugreifen kann.

Rutkowska geht nun noch einen Schritt weiter und behauptet, dass Blue Pill nur dann entdeckt werden kann, wenn in AMDs Pacifica-Technologie ein Loch ist.