68556

Rootkits gehen aktiv gegen Schutzprogramme vor

11.10.2005 | 15:02 Uhr |

Die kommerziell angebotene Version eines bekannten Rootkits wehrt sich aktiv gegen Rootkit-Scanner.

Der Einsatz von so genannten Rootkits durch Programmierer schädlicher Software nimmt weiter zu. Der finnische Antivirus-Hersteller F-Secure hat eine kommerzielle Version eines Rootkits analysiert und festgestellt, dass dieses aktiv gegen Anti-Rootkit-Software vorgeht.

Im Virenlabor von F-Secure landete "Golden Hacker Defender" auf dem virtuellen Seziertisch. Diese nicht frei erhältliche Version des Rootkits "Hacker Defender" entdeckten die Administratoren eines nicht genannten Unternehmens auf mehreren ihrer Windows-Server, als sie die neueste Beta-Version von F-Secure "Blacklight" testeten. Blacklight ist ein Programm zum Aufspüren und Entfernen von Rootkits ( wir berichteten ).

Die vermutlich mehrere hundert Euro teure Version von Hacker Defender enthält ein Modul zur Erkennung von Programmen, die ihr gefährlich werden könnte. Es arbeitet wohl ähnlich wie ein klassischer Virenscanner. Es kennt digitale Fingerabdrücke moderner Anti-Rootkit-Programme und setzt diese außer Gefecht, noch bevor sie mit ihrer Arbeit beginnen können.

Diese Signaturen können aktualisiert werden, damit das Rootkit auch neuere Versionen seiner Gegner erkennt. Die Entdeckung dieses Rootkits mit Blacklight war nur möglich, weil eine neue Beta-Version von Blacklight verwendet wurde, die dem Rootkit noch nicht bekannt war.

Rootkits versuchen also die Sicherheitsprogramme mit ihren eigenen Waffen zu schlagen. Damit wird mal wieder eine neue Runde im Spiel "Hase gegen Igel" eingeläutet. Beide Seiten stehen im Wettbewerb um die Bereitstellung neuer Versionen, die den Gegner erkennen und schlagen können. Mit der automatischen Update-Funktion moderner Virenscanner haben die Antivirus-Hersteller im Moment einen leichten Vorteil.

Sie benötigen jedoch Exemplare der neuesten kommerziellen Rootkit-Versionen, die nicht so leicht zu beschaffen sind, will man sie nicht beim Programmierer kaufen. Dieser wiederum benötigt lizensierte Versionen der jeweiligen Anti-Rootkit-Software, um sein Machwerk mit deren neuesten Updates zu testen.

0 Kommentare zu diesem Artikel
68556