120470

Microsoft entfernt Rootkits von 100.000 Rechnern

03.11.2008 | 16:37 Uhr |

Die Oktober-Version von Microsofts Tool zum Entfernen bösartiger Software nimmt die Rootkits aus der Rustock-Familie aufs Korn und hat diese von bislang etwa 100.000 Rechnern entfernen können.

Jeden Monat stellt Microsoft im Rahmen des Patch Day auch eine neue Version seiner kleinen Wurmkur namens "Tool zum Entfernen bösartiger Software" (MSRT) bereit, die um die Erkennung zusätzlicher Schädlinge erweitert worden ist. Die zum Patch Day im Oktober veröffentlichte Fassung des MSRT zielt auf eine weit verbreitete Rootkit-Familie namens "Rustock", die seit dem 14. Oktober von knapp 100.000 Windows-Rechnern entfernt werden konnte.

Wie Scott Wu vom Microsoft Malware Protection Center (MMPC) im Blog des MMPC berichtet, konnte das MSRT mit Stand Ende Oktober auf über 99.000 Rechnern Rustock-Rootkits entdecken und entfernen. Die meisten der befallenen Rechner (41 Prozent) sind in den USA beheimatet, gefolgt von Frankreich mit 6,3 Prozent und Spanien mit knapp sechs Prozent. Deutschland liegt mit einem Anteil von drei Prozent auf Platz sieben hinter Russland.

Microsofts Malware-Tool unterscheidet und erkennt zehn Varianten des Rustock-Rootkits. Auf die als "Backdoor:WinNT/Rustock.E" bezeichnete Variante entfällt der Löwenanteil von 80 Prozent der entdeckten Rootkits. Die Variante "Rustock.C" kommt auf knapp 13 Prozent, der Rest verteilt sich auf die übrigen Varianten.

Das Rustock-Rootkit besteht meist aus drei Komponenten, die zunächst in einer Datei stecken und sich wie die berühmten russischen Matrjoschka-Puppen nacheinander entblättern. Zunächst kommt der so genannte Dropper, der das Programm zu Installieren des Rootkit-Treibers startet. Der Rootkit-Treiber und sein Installationsprogramm laufen im Kernel-Modus von Windows.

Einige Rustock-Varianten ersetzen zur Tarnung einen legitimen, seltener benötigten Systemtreiber, wie "beep.sys" (für den internen PC-Lautsprecher) oder "null.sys". Andernfalls benutzt Rustock einen obskuren, aber unverdächtig erscheinenden Dateinamen wie "glaide32.sys" oder "lzx32.sys" oder zufällig generiert Ziffernfolgen. Obwohl die Dateien im Explorer sichtbar sein können, lassen sie sich nicht von Hand löschen, sind angeblich doch nicht da.

Weitere Details zum Rustock-Rootkit liefert Oleg Petrovsky im MMPC-Blog .

0 Kommentare zu diesem Artikel
120470