Trojanische Pferde werden zunehmend mit Rootkits kombiniert

Mittwoch, 18.05.2005 | 09:31 von Frank Ziemann
Rootkits werden verstärkt dazu eingesetzt um die Existenz Trojanischer Pferde zu kaschieren.

Die Tarnung Trojanischer Pferde, in diesem Fall so genannte "Bots", erfolgt in zunehmendem Maße unter Einsatz von Rootkits. Die Bots werden in immer neuen Variationen aus bereits existierenden erstellt, damit sie von Antivirus-Software nicht gleich erkannt werden. Einen Schritt weiter gehen diejenigen, die ihre Bots mit frei verfügbaren Rootkits kombinieren.

Viele von denen, die mit abgewandelten Bots versuchen, sich Netzwerke aus fremdgesteuerten Computern aufzubauen, verfügen nicht über die Programmierfähigkeiten, um eigene Rootkits zu entwickeln. Sie verwenden, was es auf dem freien Schwarzmarkt gibt und kopieren sich auch den Code zur Steuerung des Rootkit-Treibers.

Ein Rootkit-Treiber ist ein Programm, das auf Systemebene arbeitet, etwa vergleichbar einem Gerätetreiber für ein virtuelles Laufwerk. Mit Systemrechten ausgestattet, vom Benutzer mit Admin-Rechten unwissentlich installiert, kann es den laufenden Prozess des Bots aus der Task-Liste entfernen. Er läuft jedoch versteckt weiter, taucht nur in der Prozessliste des Taskmanagers nicht mehr auf. Benutzer und herkömmliche Schutz-Software sehen den Prozess folglich nicht mehr, können ihn also auch nicht beenden.

Hier können spezielle Programme einspringen, die für die Entdeckung von Rootkits entwickelt wurden. Sie können feststellen, welche Prozesse tatsächlich laufen. Sie vergleichen die Liste der gefundenen Prozesse mit der offiziellen, für den Benutzer sichtbaren Liste. Entdecken sie dabei Unterschiede, liegt der Verdacht nahe, dass ein bestimmter Typ von Rootkit im Spiel ist. Entdeckt wird also nicht unbedingt der Rootkit-Treiber, wenn dieser nicht selbst auch versteckt ist, sondern der vom Rootkit verschleierte Prozess des Bots (oder einer anderen Malware). Diese Vorgehensweise ist eine der Methoden, mit denen der " Rootkit Revealer " von Sysinternals oder F-Secure " Blacklight " auf die Jagd gehen.

Mittwoch, 18.05.2005 | 09:31 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
109968