RSA Security: Microsoft warnt vor neuen Rootkits

Die neuesten Rootkit-Versionen seien anders als die bisherigen Vertreter dieser Malware-Gattung nur schwer zu erkennen, führte Microsoft bei einem Vortrag auf dem Sicherheitskongress RSA in San Francisco aus. Frühere Rootkits enttarnten sich durch Prozesse im Hintergrund oder unerwartete Versuche nach außen zu kommunizieren, zumindest gegenüber erfahrenen Systemadministratoren und entsprechenden Schutzprogrammen.

Inzwischen treiben die Programmierer der Malware nach Erkenntnis der Experten einen immensen Aufwand, um ihre Produkte dauerhaft zu tarnen. So seien moderne Kernel Rootkits in der Lage, Systemabfragen abzufangen und eigene Prozesse damit unsichtbar zu machen. Die üblichen auffälligen Zeichen, dass ein Programm abläuft - etwa eine EXE-Datei oder ein Prozess, der Speicher belegt - fehlten deshalb der neueren Rootkit-Generation meist. Als Beispiel nannten die Experten das Kit "Hacker Defender", dass verschlüsselt mit der Außenwelt über Port 135 kommuniziere, ohne Anwendungen zu stören, die den gleichen Port verwenden.

In ihrem Vortrag äußerten die Sicherheitsexperten von Microsoft den Verdacht, dass die organisierte Kriminalität Autoren unterstütze, damit diese gebräuchliche Rootkits verfeinerten. Die professionellen Betrüger haben den Experten zufolge wohl Interesse daran, verbesserte Rootkits zur Verfügung gestellt zu bekommen, um damit Unternehmen beispielsweise auszuspähen oder sonstigen Nutzen aus der Malware zu ziehen.

Die Microsoft-Strategen äußerten die Befürchtung, dass die IT-Welt der Bedrohung weitgehend machtlos gegenüberstehe. Es gebe derzeit nur wenig Möglichkeiten, die neuen Rootkit-Versionen, die sich beispielsweise über Spyware verbreiteten, auf einem infizierten Rechner zu identifizieren. Eine Chance bestehe aber beispielsweise darin, den Computer mit einem Betriebssystem von CD-ROM aus zu booten und dann die Profile des sauberen mit einem möglicherweise infizierten Rechner zu vergleichen. Microsoft hat zudem ein Tool erarbeitet, das diese Aufgabe ebenfalls übernimmt. "Strider Ghostbuster" organisiert einen Abgleich zwischen sauberen und verdächtigen Systemen mit Windows. Als einzige sichere Maßnahme bei Rootkit-Verdacht gelte derzeit aber noch, die entsprechende Festplatte komplett zu löschen und neu zu formatieren. (fba)

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF herunterladen können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.