Spyware tarnt sich mit Rootkits

Mittwoch den 22.06.2005 um 16:04 Uhr

von Frank Ziemann

Adware und Spyware bedienen sich vermehrt technischer Tarnmaßnahmen, um ihre Entdeckung und Entfernung zu erschweren.

Bereit seit einigen Monaten machen so genannte Rootkits von sich reden ( wir berichteten ). Sie werden von Angreifern benutzt, die damit eingeschleuste Trojanische Pferde tarnen ( wir berichteten ). Auch die Hersteller und Verbreiter von Adware und Spyware haben inzwischen Windows-Rootkits als Tarnkappen für ihre Programmdateien entdeckt.

Eines der größten Ärgernisse von Internet-Nutzern ist die Spyware "Cool Web Search" (CWS), die sich bereits in der Vergangenheit immer wieder als nicht so leicht entfernbar erwiesen hat. Neuere Versionen von CWS enthalten nun Funktionen, die denen von Rootkits zumindest sehr ähnlich sind. Sie sollen verhindern, dass betroffene Anwender die Programmdateien finden, die ihren PC ausbremsen, den Bildschirm mit Pop-ups füllen und ihre Suchanfragen umleiten. Früheren CWS-Versionen waren relativ leicht zu finden, aber nur schwer zu entfernen. Dazu leistete das Programm " CWShredder " oft gute Dienste, das nach der Übernahme von Intermute ( wir berichteten ) nun bei Trend Micro zu finden ist.

Jetzt kommt auch noch eine Art Tarnkappe hinzu. Nach Angaben von Roger Thompson von Computer Associates nutzt CWS so genannte Alternate Data Streams (ADS) des Windows-Dateisystems NTFS, um Teile des Rootkits zu verbergen. Das bedeutet für den Anwender, dass die Dateien weder im Windows Explorer noch mit dem Kommandozeilenbefehl "dir" sichtbar sind. Sie werden von Anti-Spyware-Programmen oder Virenscannern nur gefunden, wenn diese auch mit ADS umgehen können.

Spezielle Rootkit-Detektoren wie der "Rootkit Revealer" von Sysinternals oder "Blacklight" von F-Secure sollen den versteckten Programmen ihre Tarnkappen entreißen. Letztlich setzt sich jedoch auch hier das altbekannte Katz-und-Maus-Spiel zwischen Malware-Programmierern und den "Guten" fort.

Mittwoch den 22.06.2005 um 16:04 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
98550