XP und SystemLoadAndCallImage Sicherheitsproblem

[AHT]

Malwareschreibern dürfte das schon lange bekannt sein, die pfuschen ja schon einige Jahre lang mit dieser Funktion im Betriebsystem herum, normalen Usern aber wohl eher nicht.

Unter XP (unter Windows2000 nicht) erzeugen sowohl SystemLoadImage als auch SystemLoadAndCallImage (wenn ich es im Augenblick richtig sehe) keine DRIVER_OBJECT Strukturen mehr im Kernel, wober SystemLoadAndCallImage im Usermode ausführbar ist. Da diese Systemstrukturen hier fehlen, lassen sich auf diese Weise geladene Module nicht mehr über SystemUnloadImage aus dem Kernel entladen.
Die so geladenen Module existieren für das OS nicht als vollwertige Treiber - es reicht also recht wenig Aufwand aus, um im Kernel laufenden Malwarecode so zu verstecken, dass er nur mit viel Aufwand überhaupt als verstecktes Modul erkannt werden kann - der RootKit Scanner von AntiVir9 lässt diesen Bereich zum Beispiel, wenn ich es richtig sehe, (übrigens neben weiteren Bereichen, die in der Vergangenheit für Malware genutzt wurden ) ganz aus.

Die Sache wurde unter Vista insoweit gefixt, dass sich SystemLoadAndCallImage nicht mehr im Usermode ausführen lässt .