96586

Ein Rootkit für Arme

18.09.2006 | 16:03 Uhr |

Malware-Programmierer, die kein Rootkit schreiben können oder keines nutzen wollen, finden auch andere Wege zur Tarnung ihrer Schädlinge. Darunter sind auch Lösungen, die bereits früher bei Viren und Würmern zum Einsatz kamen.

Einige Programmierer von digitalen Schädlingen folgen offenbar nicht dem allgemeinen Trend zum Einsatz von Rootkits zu Tarnzwecken. Der Malware-Forscher Hon Lau von Symantec berichtet im Weblog von Symantec Security Response über einen recht schlicht anmutenden Ansatz zur Tarnung, den er als "Rootkit für Arme" bezeichnet.

Viele Trojanische Pferde legen bei ihrem ersten Aufruf eine Kopie von sich ab, zum Beispiel im Windows-Verzeichnis. Diese tragen sie dann in die Windows-Registry ein, damit das Programm bei jedem Start von Windows automatisch geladen wird. Der von Hon Lau kommentierte Schädling Trojan.Zonebac geht einen anderen Weg.

Das Trojanische Pferd untersucht zunächst die Registry nach vorhandenen Autostart-Einträgen in den RUN-Schlüsseln. Es legt Kopien der Programmdateien an, die damit gestartet werden sollen. Dann ersetzt es die Originale mit einer Kopie von sich selbst, die jeweils den Dateinamen des (meist) legitimen Programms erhält. Die Registry wird also nicht manipuliert.

Beim nächsten Windows-Start wird nun der Schädling aufgerufen, der seinerseits die wohlbedacht angelegten Kopien der Programme startet, die er ersetzt hat. Auf dem Rechner läuft also scheinbar alles wie zuvor. Der Anwender wird meist nicht auf die Idee kommen genauer nachzuforschen, weil sein PC keine auffälligen Verhaltensänderungen zeigt. Die so erreichte Tarnung der Malware ist weit davon entfernt perfekt zu sein - sie ist jedoch in vielen Fällen gut genug.

Bereits zur Zeit von MS-DOS gab es ähnliche Techniken bei Malware, etwa den Typ des "Companion-Virus". Dieser benutzt den gleichen Dateinamen wie ein vorhandenes Programme, jedoch mit der Endung ".com" statt ".exe". Nach der Logik von MS-DOS wird etwa bei Eingabe des Befehls "word" eine vorhandene Datei "word.com" aufgerufen, auch wenn es eine Datei "word.exe" gibt. Der Schädling wird geladen und ruft dann die EXE-Datei auf, damit er nicht auffällt.

0 Kommentare zu diesem Artikel
96586