Rustock-Rootkit weit verbreitet

Microsoft: Anti-Malware-Tool säubert 100.000 PCs von Rootkit

Mit dem Oktober-Update erhielt das MSRT die Signaturen einer bösartigen Rootkit-Malware. Laut Microsoft konnten bislang 100.000 Rechner vom Rustock-Rootkit befreit werden.

Jeden Monat stellt Microsoft im Rahmen des Patch Day auch eine neue Version seiner kleinen Wurmkur namens "Tool zum Entfernen bösartiger Software" (MSRT) bereit, die um die Erkennung zusätzlicher Schädlinge erweitert worden ist. Die zum Patch Day im Oktober veröffentlichte Fassung des MSRT zielt auf eine weit verbreitete Rootkit-Familie namens "Rustock", die seit dem 14. Oktober von knapp 100.000 Windows-Rechnern entfernt werden konnte.

Wie Scott Wu vom Microsoft Malware Protection Center (MMPC) im Blog des MMPC berichtet, konnte das MSRT mit Stand Ende Oktober auf über 99.000 Rechnern Rustock-Rootkits entdecken und entfernen. Die meisten der befallenen Rechner (41 Prozent) sind in den USA beheimatet, gefolgt von Frankreich mit 6,3 Prozent und Spanien mit knapp sechs Prozent. Deutschland liegt mit einem Anteil von drei Prozent auf Platz sieben hinter Russland.

Microsofts Malware-Tool unterscheidet und erkennt zehn Varianten des Rustock-Rootkits. Auf die als "Backdoor:WinNT/Rustock.E" bezeichnete Variante entfällt der Löwenanteil von 80 Prozent der entdeckten Rootkits. Die Variante "Rustock.C" kommt auf knapp 13 Prozent, der Rest verteilt sich auf die übrigen Varianten. Das Rustock-Rootkit besteht meist aus drei Komponenten, die zunächst in einer Datei stecken und sich wie die berühmten russischen Matrjoschka-Puppen nacheinander entblättern. Zunächst kommt der so genannte Dropper, der das Programm zum Installieren des Rootkit-Treibers startet. Der Rootkit-Treiber und sein Installationsprogramm laufen im Kernel-Modus von Windows.

Einige Rustock-Varianten ersetzen zur Tarnung einen legitimen, seltener benötigten Systemtreiber, wie "beep.sys" (für den internen PC-Lautsprecher) oder "null.sys". Andernfalls benutzt Rustock einen obskuren, aber unverdächtig erscheinenden Dateinamen wie "glaide32.sys" oder "lzx32.sys" oder zufällig generierte Ziffernfolgen. Obwohl die Dateien im Explorer sichtbar sein können, lassen sie sich nicht von Hand löschen, sind angeblich doch nicht da. Weitere Details zum Rustock-Rootkit liefert Oleg Petrovsky im MMPC-Blog. (PC-Welt/mja)