Microsoft warnt vor Bootkit Trojaner Win32/Popureb

Dieser Schädling benutzt wie TDSS4 ein Bootkit und versteckt sich im MBR der Festplatte. Es wird eine Neuinstallation vom System empfohlen aber in der Wiederherstellungkonsole kann bootrec.exe /fixmbr  aufgerufen werden und dann eine Systemwiederherstellung

Es macht die üblichen Sachen wie Kontakt zum Author aufnehmen (dh818.info,Port 83) private Dateien herunterladen, Befehle aus der Ferne empfangen und ausführen. Download von noch anderer malware ist möglich


Erkennbar ist der Schädling an <current folder>\hello_tt.sys  c:\documents and settings\all users\documents\my videos\pulgfile.log 


Weitere Details gibts im Microsoft Malware Protection Center 


Die Malware heftet sich an "DriverStartIO" per Hook indem es den Einstiegspunkt per IoGetDeviceAttachmentBaseRef ermittelt. Dieser Festplatten Gerätezugriff wird z.B. von der atapi.sys verwendet.   Es wandelt alle Schreibzugriffe auf den Bootsektor in Lesende Zugriffe um, weshalb Antivirenprogramme zwar einen Erfolg melden, dies aber nicht der Wahrheit entspricht.