Microsoft bekämpft das Bluescreen-Rootkit

Wie jeden Monat hat Microsoft beim Patch Day am 13. April sein "Windows-Tool zum Entfernen bösartiger Software", intern kurz MSRT (für Malicious Software Removal Tool) genannt, aktualisiert. Die neue Version 3.6 bekämpft unter anderem, wie schon seit März, das Rootkit Alureon. Es wird für Bluescreens nach Installation der ursprünglichen Fassung des Sicherheits-Updates aus dem Security Bulletin MS10-015 verantwortlich gemacht.

Im Blog des Microsoft Malware Protection Center berichten Joe Johnson und Vishal Kapoor über die Erfolge bei der Bekämpfung des Alureon-Rootkits seit Bereitstellung der neuesten MSRT-Version. Demnach hat das MSRT im April knapp 263.000 Alureon-Infektionen bereinigt, die sich im Wesentlichen auf vier virulente Varianten verteilen.

Die Variante Alureon.G wurde von den Malware-Programmierern in Umlauf gebracht, um die Konflikte mit dem Update aus MS10-015 zu beseitigen, die unerwünschte Aufmerksamkeit erregt hatten. Die Maßnahme zeigt einen gewissen Erfolg, denn auf die G-Variante entfällt mit 39 Prozent der größte Anteil der entdeckten und beseitigten Infektionen. Eine Reihe von Antivirusherstellern führt Alureon unter dem Namen "TDSS".

Microsofts Malware-Spezialisten haben auch Daten über die geografische Verbreitung von Alureon ausgewertet. Demnach sind fast zwei Drittel der Infektionen im anglo-amerikanischen Sprachraum aufgetreten, die Hälfte allein in den USA. Der Rest der Welt wird von Deutschland mit einem Anteil von etwa fünf Prozent angeführt.

Die Analyse des Schädlings zeigt, dass Alureon/TDSS Administratorrechte benötigt und auch anfordert. Microsoft folgert daraus, dass die Nutzung eingeschränkter Benutzerkonten sowie die die mit Windows Vista eingeführte Benutzerkontensteuerung (UAC) hilft den Schaden zu begrenzen. Folgerichtig entfallen mehr als zwei Drittel der festgestellten Infektionen auf Windows XP, ein knappes Viertel auf Vista und 7 Prozent auf Windows 7. (PC Welt/mje)