191621

Kaspersky wehrt sich gegen Rootkit-Vorwurf

17.01.2006 | 10:56 Uhr |

In seinem Blog hat Mark Russinovich, vor allem durch die Entdeckung des Rootkits bei Sonys Kopierschutz XCP bekannt geworden, vor einiger Zeit in einem Nebensatz auch Antiviren-Herstellern vorgeworfen, diese Technik bei ihren Produkten einzusetzen. Namentlich genannt wurde Kaspersky Labs. Jetzt hat das Unternehmen reagiert.

Kaspersky Labs widerspricht der Behauptung von Mark Russinovich , Rootkits bei seinen Produkten einzusetzen. Konkret geht es um die Technologie Istreams , die das Unternehmen zur Erhöhung der Scan-Geschwindigkeit in Kaspersky Anti-Virus einsetzt.

Dabei wird NTFS Alternate Data Streams genutzt, um Prüfsummen der Dateien auf einem PC aufzunehmen. Ändert sich diese Prüfsumme nicht, geht das System davon aus, dass die Datei nicht verändert wurde. Damit sei ein erneuter Scan dieser Datei nicht mehr erforderlich, so Kaspersky. Die NTFS Alternate Data Streams sind allerdings versteckt auf dem System untergebracht und nur mit speziellen Tools aufspürbar. Gleichzustellen mit Rootkits seien sie aber deswegen nicht, so Kaspersky Lab. Darüber hinaus ist das Unternehmen überzeugt, dass diese Technologie von Virenautoren nicht missbräuchlich ausgenutzt werden kann.

Hierfür nennt das Unternehmen unter anderem folgende Gründe:

1. Sobald die Anti-Virus-Software aktiviert ist, sind die Datenströme verborgen und keine Prozesse (auch keine System-Prozesse) können auf sie zugreifen

2. Wird die Software deaktiviert, können die Datenströme mittels spezieller Tools sichtbar gemacht werden.

3. Wird ein Datenstrom mit (möglicherweise schadhaften) Daten oder Code umgeschrieben (zum Beispiel beim Neustart im abgesicherten Modus), liest Kaspersky Anti-Virus den Datenstrom beim nächsten Hochfahren aus, ohne dabei sein Format zu erkennen. Kaspersky Anti-Virus beginnt daraufhin, die Prüfsummen-Datenbank neu aufzubauen. Das bedeutet, dass potenzieller Schadcode eliminiert wird, so Kaspersky Lab.

Allerdings gibt das Unternehmen zu, dass die Deinstallation der Software länger dauert, da sämtliche Datenströme entfernt werden müssen. Daher soll in der kommenden Version von Anti-Virus eine neue Technologie zum Einsatz kommen, die die gleiche Leistung bieten soll, aber ohne Istreams auskommt.

Weitere Informationen zu diesem Thema gibt Eugene Kaspersky in seinem Weblog .

0 Kommentare zu diesem Artikel
191621