Virtualisierungs-Rootkit veröffentlicht
Bluepill verschiebt Windows in virtuelle Maschine
Joanna Rutkowska hat ihr schon vor einem Jahr auf der Black-Hat-Konferenz vorgestelltes Virtualisierungs-Rootkit "Bluepill" veröffentlicht. Dieses verschiebt eine Windows-Installation in eine virtuelle Maschine, in der der Anwender dann arbeitet - ohne dies zu merken.
Ein ähnliches Konzept stellten Forscher bereits Anfang 2006 vor, Rutkowska zeigte Bluepill dann anlässlich der Black-Hat-Konferenz und veröffentlichte nun eine überarbeitete Version.
Das Rootkit soll eine Windows-Installation unbemerkt in eine virtuelle Maschine verschieben, in der der Anwender dann weiterarbeitet. Die neue Version nutzt AMD-V/SVM um Windows zu virtualisieren, kann aber noch nicht Intels VT-x verwenden. Auch verschachtelte Hypervisor unterstützt das System, um sich so weiter zu verstecken.
Windows wird im laufenden Betrieb verschoben, ein Neustart ist so nicht nötig. Durch die Manipulation der Timestamp-Abfrage soll sich Blue Pill außerdem weiter verstecken. Als mögliches Indiz für das vorhandene Rootkit kann allerdings gelten, das Virtual PC 2007 innerhalb von Blue Pill abstürzt - auch die Timestampt-Manipluation soll noch recht einfach sein.
Blue Pill steht zum Download bereit, muss jedoch selbst kompiliert werden.
das gibt ja ganz neue perspektiven. ich virtualisiere mein gerade fremd-virtualisiertes...
Der Titel der Zeitschrift lautet "hakin9", siehe auch http://hakin9.org. Jan Kutzner
Wahnsinn, was es nicht alles gibt. Respekt vor den Jungs, die sich sowas ausdenken und...
Kann mich noch daran erinnern als Intel mit VT, damals noch Vanderpool, rumgeprotzt hat...
falsch! es ist kein VM-WARE !!! lies dir mal den post von "TheUltimateStar" durch.. es...