51928

Malware entfernt fremde Rootkits und installiert eigenen Schädling

29.02.2008 | 16:07 Uhr |

Eine Malware-Komponente, die in verschiedenen Schädlingsfamilien enthalten ist, entfernt vorhandene Rootkits anderer Herkunft und installiert dann seine eigene Tarnkappe nebst Hintertür.

Schädlinge, die andere Malware von einem Rechner verdrängen, um ihn selbst zu übernehmen, sind kein ganz neues Phänomen. Der Antivirus-Hersteller Trend Micro hat eine Malware-Komponente untersucht, die offenbar Bestandteil mehrerer Schädlingsfamilien ist. Wenn der PC damit infiziert wird, entfernt sie schon vorhandene Rootkits, um sich selbst an ihre Stelle zu setzen. Für den PC.Besitzer ist also nichts gewonnen - ob Pest oder Cholera, kann ihm im Grunde egal sein.

Wie Edgardo Diaz von Trend Micro im Malware Blog des Unternehmens berichtet, ist "RTKT_PUSHU.AC" in den Schädlingsfamilien Nuwar (Sturm-Wurm) und Pushdo/Pandex enthalten. Findet diese Malware-Komponente auf einem PC ein fremdes Rootkit vor, löst sie die Verknüpfungen, mit denen sich das Rootkit in Systemfunktionen eingeklinkt hat.

Diaz beschreibt anhand von Screenshots exemplarisch den gesamten Vorgang, ausgehend von einem Rechner, der mit zwei Rootkits verseucht ist. Er führt den Leser schrittweise durch die Ausmerzung der unliebsamen Konkurrenz durch RTKT_PUSHU.AC. Der Schädling installiert abschließend sein eigenes Rootkit und öffnet eine Hintertür ins System, durch die der PC fremdgesteuert werden kann.

Eine gewisse Aufmerksamkeit hatte vor einigen der Wurm-Krieg zwischen den Programmierern der Schädlinge Netsky, Bagle und Mydoom erregt. Immer neue Malware-Varianten kamen in recht kurzen Abständen in Umlauf, die jeweils die anderen Schädlinge zu löschen versuchten.

0 Kommentare zu diesem Artikel
51928