Starker Zuwachs bei Kernel-Malware
So genannte Kernel-Rootkits greifen das Herz eines Betriebssystem an und tarnen weitere installierte Malware. Die Bedeutung dieses Malware-Typs hat in den letzten Jahren stark zugenommen, wie eine Analyse zeigt.
Der Malware-Forscher Kimmo Kasslin vom finnischen Antivirus-Hersteller F-Secure hat in einer kürzlich veröffentlichten Arbeit Grundsätzliches sowie aktuelle Trends auf dem Gebiet der Kernel-Malware analysiert und zusammen gefasst. Er zeigt darin auf, wie problematisch die Erkennung und Bekämpfung dieser digitalen Schädlinge ist.
Die so genannten Kernel-Mode-Rootkits sind heute immer häufiger Bestandteil weit verbreiteter Malware und dienen meist dazu, installierte Trojanische Pferde zu tarnen. Der einzige dokumentierte Weg ein richtiges Kernel-Rootkit zu etablieren ist die Installation eines Kernel-Treibers, wofür Administrator-Rechte nötig sind. Ist dies gelungen, kann der Treiber die Listen der vom Betriebssystem angezeigten Dateien, Registry-Einträge und Prozesse sowie die genutzten Netzwerk-Ports manipulieren, sodass schädlicher Code unentdeckt bleibt.
Das erste echte Kernel-Rootkit "WinNT/Infis" stammt aus dem Jahr 1999 und ist für Windows NT geschrieben; eine spätere Version funktioniert auch unter Windows 2000. Für eine Weile waren Rootkits unter Windows ein Randphänomen, um ab Anfang 2005 stark zuzunehmen. Heute sind sie Bestandteil großer Malware-Familien wie etwa "Sdbot" und "Rbot". Sie machen allerdings weiterhin nur einen kleinen Teil der neu entdeckten Malware aus.
Die häufigsten Kernel-Rootkits:
| F-Secure | Symantec | McAfee |
|---|---|---|
| Backdoor.Win32.Haxdoor | Backdoor.Haxdoor | Backdoor-BAC |
| Backdoor.Win32.HacDef | Backdoor.HackDefender | HackerDefender trojan |
| Trojan-Spy.Win32.Banker | Infostealer.Bancos | PWS-Banker trojan |
| Backdoor.Win32.PcClient | Backdoor.Formador | BackDoor-CKB trojan |
| Trojan-Spy.Win32.Goldun | Trojan.Goldun | PWS-Goldun trojan |
| Trojan.Win32.Crypt.t | Spyware.Apropos.C | Adware-Apropos |
| SpamTool.Win32.Mailbot | Backdoor.Rustock.A | Spam-Mailbot trojan |
Besonders Malware, die zum Aufbau und Betrieb von Botnets dient sowie Spionageprogramme benutzen Rootkits um sich zu tarnen. Nach Kasslins Analyse ist der vorbeugende Schutz die wichtigste und vielleicht einzig wirksame Maßnahme gegen Kernel-Malware. Ist ein Kernel-Rootkit erst einmal installiert, ist es sehr schwer wieder vollständig zu entfernen. Vor allem kann man sich nicht sicher sein wirklich alle Malware-Komponenten aufgespürt und entfernt zu haben. Eine komplette Neuinstallation des Systems ist dann meist der sinnvollste Ausweg.
Die Analyse "Kernel Malware: The Attack from Within" von Kimmo Kasslin ist als PDF-Datei bei F-Secure erhältlich.
