Virtualisierungs-Rootkit veröffentlicht

Bluepill verschiebt Windows in virtuelle Maschine

Joanna Rutkowska hat ihr schon vor einem Jahr auf der Black-Hat-Konferenz vorgestelltes Virtualisierungs-Rootkit "Bluepill" veröffentlicht. Dieses verschiebt eine Windows-Installation in eine virtuelle Maschine, in der der Anwender dann arbeitet - ohne dies zu merken.

Artikel veröffentlicht am , Julius Stiebert

Ein ähnliches Konzept stellten Forscher bereits Anfang 2006 vor, Rutkowska zeigte Bluepill dann anlässlich der Black-Hat-Konferenz und veröffentlichte nun eine überarbeitete Version.

Stellenmarkt
  1. SAP Inhouse Consultant (m/w/d) mit Schwerpunkt Logistik Module
    Covivio Immobilien GmbH, Oberhausen
  2. Testingenieur (w/m/d) in der Automobilindustrie
    Vdynamics GmbH, München
Detailsuche

Das Rootkit soll eine Windows-Installation unbemerkt in eine virtuelle Maschine verschieben, in der der Anwender dann weiterarbeitet. Die neue Version nutzt AMD-V/SVM um Windows zu virtualisieren, kann aber noch nicht Intels VT-x verwenden. Auch verschachtelte Hypervisor unterstützt das System, um sich so weiter zu verstecken.

Windows wird im laufenden Betrieb verschoben, ein Neustart ist so nicht nötig. Durch die Manipulation der Timestamp-Abfrage soll sich Blue Pill außerdem weiter verstecken. Als mögliches Indiz für das vorhandene Rootkit kann allerdings gelten, das Virtual PC 2007 innerhalb von Blue Pill abstürzt - auch die Timestampt-Manipluation soll noch recht einfach sein.

Blue Pill steht zum Download bereit, muss jedoch selbst kompiliert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


wolfgang 06. Aug 2007

das gibt ja ganz neue perspektiven. ich virtualisiere mein gerade fremd-virtualisiertes...

Jan Kutzner 04. Aug 2007

Der Titel der Zeitschrift lautet "hakin9", siehe auch http://hakin9.org. Jan Kutzner

Tylon 03. Aug 2007

Wahnsinn, was es nicht alles gibt. Respekt vor den Jungs, die sich sowas ausdenken und...

Scanner 03. Aug 2007

Kann mich noch daran erinnern als Intel mit VT, damals noch Vanderpool, rumgeprotzt hat...

soomon 03. Aug 2007

falsch! es ist kein VM-WARE !!! lies dir mal den post von "TheUltimateStar" durch.. es...



Aktuell auf der Startseite von Golem.de
Bildbearbeitungstool bei Github
Triangula und die Schönheit der Mathematik

Helferlein Triangula ist ein gelungenes Tool, um Bilder kunstvoll in Polygone zu zerlegen. Mit einem weiteren Tool können sie als Platzhalter auf Webseiten eingesetzt werden.
Von Kristof Zerbe

Bildbearbeitungstool bei Github: Triangula und die Schönheit der Mathematik
Artikel
  1. Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
    Giga Factory Berlin
    Warum Tesla auf über eine Milliarde Euro verzichten musste

    Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

  2. Abonnenten verärgert: Spotify entfernt speziellen Automodus
    Abonnenten verärgert
    Spotify entfernt speziellen Automodus

    Durch den Wegfall von Car View wird die Nutzung von Spotify für Autofahrer im Fahrzeug gefährlicher.

  3. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD-CPUs zu Bestpreisen (u. a. Ryzen 7 5800X 348€) • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ [Werbung]
    •  /