Rootkit und Trojanisches Pferd in Einem
Die Schadensfunktionen werden künftig direkt in den Rootkit-Treiber eingebaut.
Bislang werden Rootkits und die Schädlinge, die von einem Rootkit versteckt werden sollen, in getrennten Programmdateien verbreitet. Nun hat ein Student, mutmaßlich aus Großbritannien, einen so genannten IRC-Bot geschrieben, der im Rootkit selbst enthalten ist.
Ein typisches Rootkit besteht oft aus einem Treiber, der auf Systemebene operiert, im so genannten Kernel Mode. Dieser Treiber ist so ausgelegt, dass er bestimmte Dateien, Prozesse und Registry-Einträge versteckt. Gängige Antivirus-Software kann diese Objekte nicht entdecken. Sie gehören zum Beispiel zu einem Trojanischen Pferd, etwa einem Bot, der die Fernsteuerung des befallenen Computers ermöglicht und ihn zu einem Teil eines Botnets macht.
Der eigentliche Schädling kann somit wie normale Anwendungen im User Mode arbeiten, was die Programmierung vereinfacht. Der Programmierer sucht sich dann ein geeignetes Rootkit und schnürt aus beiden Programmen ein Paket, das auf beliebigem Weg auf den Rechner des Opfers transportiert und dort installiert wird.
Der "Kernel Mode IRCbot", der von seinem Programmierer "Tibbar" ("Rabbit" rückwärts geschrieben) als Projekt für Visual Studio 2003 veröffentlicht wurde, besteht aus einem Rootkit-Treiber, der die eigentliche Anwendung bereits enthält. Er basiert auf einer Programmbibliothek, die Ende 2005 von einem italienischen Programmierer mit dem Nickname "Valentino" publiziert wurde. Mit dieser Programmbibliothek soll es möglich sein, bestimmte Personal Firewalls auszutricksen.
Der im Rootkit-Treiber enthaltene IRC-Bot enthält in seiner veröffentlichten Form keine unmittelbaren Schadensfunktionen. Er ermöglicht lediglich die verdeckte Kommunikation mit dem befallenen Rechner über IRC (Internet Relay Chat). Der Bot betritt einen voreingestellten IRC-Channel und reagiert dort auf seinen Namen. Da "Tibbar" sein Werk jedoch im Quelltext bereitstellt, muss davon ausgegangen werden, dass andere darauf aufbauen werden. Somit könnten bald neue Schädlinge entstehen, die kaum auffindbar auf Systemebene operieren. Antivirus-Software, die solche Malware entdecken kann, ist immer noch dünn gesät.
