Echtzeitscan und 64-Bit helfen

Microsoft veröffentlicht Analyse zu Rootkits

Microsoft hat eine Analyse zur aktuellen Rootkit-Situation veröffentlicht. Daraus ist zu entnehmen, dass Rootkits nur einen kleinen Teil der im Umlauf befindlichen Malware-Familien ausmachen - schützen kann man sich am besten mit Echtzeitscannern und 64-Bit-Systemen.

Hat man sich einmal ein Rootkit eingefangen, wird man es so schnell nicht mehr los. Per Definition gräbt sich diese Malware tief in das System und versucht sich so vor der Entdeckung zu verbergen. Das ist nach der Infektion normalerweise relativ einfach, da das Rootkit als eine der Hauptkomponenten geladen wird - und so auch aktive Virenscanner austricksen kann. Das Microsoft Malware Protection Center geht den Rootkits in einer aktuellen Analyse auf den Grund. Die Verbreitung ist gering, gerade mal sieben Prozent der registrierten Malware-Familien besitzen Rootkit-Funktionen. Innerhalb dieser Gruppe ist vor allem der Schädling Alureon aktiv, mit großem Abstand folgt Cutwail.

Bedrohungslage: Rootkits sind gegenüber herkömmlicher Malware in der Minderheit, können aber langfristig Schaden anrichten. (Quelle: Microsoft)
Bedrohungslage: Rootkits sind gegenüber herkömmlicher Malware in der Minderheit, können aber langfristig Schaden anrichten. (Quelle: Microsoft)

Am liebsten verstecken die Malware-Schreiber ihre Schöpfungen auf Windows Systemen im Drivers-Verzeichnis, danach folgen das User Temp und der Ordner system32. Als Schutzmaßnahmen empfehlen die Analysten vor allem einen aktivierten Echtzeitscanner. Rootkits lassen sich relativ einfach während der Infektion abfangen, ist das System erst einmal infiziert, wird die Entdeckung erschwert. Zudem hilft der Einsatz von 64-Bit-Umgebungen. Nahezu alle Rootkits sind auf 32-Bit-Windows-Installationan ausgelegt, lediglich 0,67 Prozent kommen mit 64-Bit zurecht, melden die Forscher. (mja)