64932

Wer verbreitet die Rootkits?

08.12.2005 | 16:12 Uhr |

Je nach Art der zu verbergenden Programme kommen unterschiedliche Rootkits zum Einsatz.

Die recht weite Verbreitung von diversen Rootkits auf Windows-PCs ist vor allem auf Adware und Spyware zurückzuführen. Zu diesem Schluss kommen die Virenforscher von F-Secure die in erster Linie ein bestimmtes Unternehmen ausgemacht haben, das massiv auf Rootkits zur Tarnung von Spyware setzt.

Nach Meinung der Fachleute von F-Secure ist Contextplus, Hersteller der Adware-Programme "Apropos" und "People on Page" für eine erhebliche Zahl von Infektionen mit Rootkits verantwortlich zu machen. Apropos sammelt Daten über das Web-Verhalten des Anwenders und sendet diese zusammen mit Systeminformationen an den Hersteller. Dieser benutzt die Daten zur Einblendung vermeintlich passender Werbe-Pop-ups.

Die Existenz der Software auf einem PC ist durch die Werbefenster offensichtlich, die Rootkit-Technik dient jedoch dazu, Programmdateien und Registry-Einträge zu verstecken, sodass die unerwünschte Software nur schwer wieder zu entfernen ist.

Programmierer von Würmern und Trojanischen Pferden hingegen wollen die Existenz ihrer Programme auf einem infizierten Rechner möglichst verbergen. Sie setzen häufig das als Open Source erhältlich "FU"-Rootkit ein, dessen Code recht einfach in einen Schädling integriert werden kann. FU-Rootkits können allerdings lediglich laufende Prozesse vor dem Windows Taskmanager verstecken. Offenbar, so vermuten die Virenforscher, setzen die Programmierer dieser Schädlinge darauf, dass die meisten Anwender ohnehin nicht wissen, welche Dateien in das System32-Verzeichnis gehören und welche nicht.

F-Secure bestätigt im Wesentlichen die Angaben von Microsoft über die Verbreitung bestimmter Rootkits ( wir berichteten ). Die Rootkits vom Typ "Hacker Defender" werden gerne zur Tarnung von Trojanischen Pferden eingesetzt, die dem Aufbau von Botnets dienen. Zudem finden sie sich häufiger auf kompromittierten Firmen-Servern und tarnen dort speziellere Spionage-Programme.

Die Rootkit-Software aus Sonys XCP-Kopierschutz ist nach Angabe von F-Secure nicht so sehr verbreitet wie allgemein angenommen wird. F-Secure Blacklight (http://www.f-secure.com/blacklight/), der bislang einzige Rootkit-Detektor eines Antivirus-Herstellers, findet dieses Rootkit eher selten auf Windows-Rechnern vor.

0 Kommentare zu diesem Artikel
64932