58112

Sony Rootkit: Hersteller bestätigt Tarnfunktion

30.08.2007 | 15:34 Uhr |

Sony hat mittlerweile bestätigt, dass die Software für bestimmte USB-Sticks ein verstecktes Verzeichnis anlegt. Antivirus-Hersteller üben sich derweil mit der Erkennung des Treibers noch in Zurückhaltung.

In einer Stellungnahme hat Sony gestern eingeräumt, dass die Software, die bei drei Modellen von USB-Sticks der Serie MicroVault USM-F mitgeliefert wird, ein neu angelegtes Verzeichnis versteckt, das von Malware-Programmierern ausgenutzt werden könnte. Die Produkte würden jedoch inzwischen nicht mehr produziert. Man habe bislang noch von keinem Kunden gehört, der damit Probleme gehabt hätte. Man nehme die Angelegenheit sehr ernst und untersuche den Fall.

Forscher des finnischen Antivirus-Herstellers F-Secure hatten in der Software für den Fingerabdrucksensor der USB-Sticks einen Rootkit-artigen Treiber entdeckt . Dieser versteckt ein Verzeichnis, in dem die Daten für die Benutzer-Erkennung des Fingerabdrucksensors gespeichert werden. In einem neueren Beitrag im F-Secure-Blog erklären die Forscher, dieser neue Fall sei weniger problematisch als der des Sony-BMG-Rootkits aus dem Jahr 2005.

Die Installation des Tarnkappentreibers diene hier dem Interesse des Benutzers, indem es seine persönlichen Daten vor neugierigen Augen Dritter verstecke. Auch sei sich der Benutzer immerhin vorher bewusst, dass er eine Software installiere und könne diese auch mit den vorhandenen Mitteln wieder entfernen. Ungeachtet dessen stelle dieser Rootkit-Treiber jedoch eine Gefahr dar, da seine Tarnfunktion von Malware-Programmierern ausgenutzt werden könne, um ihre Schädlinge vor manchen Virenscannern zu verstecken.

Sony hat unterdessen auch den Download-Link für die MicroVault-Software von seinen Web-Seiten entfernt. Die Hersteller von Antivirus-Programmen nehmen das neue Sony-Rootkit nur zögerlich in die Erkennung ihrer Virenscanner auf. Bei McAfee, die unter den ersten waren, wird es als PUP (potentially unwanted program - möglicherweise unerwünschtes Programm) eingestuft. Der Virenscanner von F-Secure erkennt es erstmal gar nicht - nur die in das Antivirus-Programm integrierte Rootkit-Erkennung "Blacklight" meldet Verdächtiges. Einige weitere Antivirus-Produkte erkennen mittlerweile den Rootkit-Treiber und/oder das Programm, das den Treiber installiert und steuert. Ob spezielle Anti-Rootkit-Programme oder -Funktionen den installierten Treiber erkennen, haben wir noch nicht getestet.

Antivirus

EXE-Datei

SYS-Treiber

AntiVir

---

---

Avast!

---

---

AVG

---

Agent.GSJ

A-Squared

---

---

Bitdefender

---

---

ClamAV

---

---

Command AV

W32/FSM.A@dr

W32/FSM.A@rk

Dr Web

---

---

eSafe

---

---

eTrust

---

---

Ewido

---

--- (Win32/VMalum.IQT)*

F-Prot

W32/FSM.A@dr

W32/FSM.A@rk

F-Secure

---

---

Fortinet

Misc/HideVault

Misc/RootkitFG

Ikarus

---

---

Kaspersky

---

---

McAfee

HideVault

HideVault

Microsoft

---

---

Nod32

---

---

Norman

---

---

Panda

---

---

QuickHeal

---

Rootkit.XCP.b

Rising AV

---

---

Sophos

---

---

Spybot S&D

---

---

Symantec

---

--- (Hacktool.Rootkit)*

Trend Micro

---

RTKT_XCP.B

VBA32

---

---

VirusBuster

---

Rootkit.FGKit.A

WebWasher

---

---

GData AVK 2007 **

---

---

Quelle: AV-Test , Stand: 30.08.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
58112