Die DEUTSCHEN Trojaner-Seiten
 
Home
Rootkits sind altbekannt und eine neue Gefahr

Eigentlich sind die viele Computer gefährdenden "Rootkits" von den Mechanismen her seit zehn bis 15 Jahren bekannt. Einer der ersten PC-Viren war Virus.Boot.Brain.a, der Systemfunktionen abfing und sich so Zutritt zur Festplatte verschaffte. Wenn ein Antivirus-Programm den Bootsektor untersuchte, ersetzte der Programmcode die infizierte Datei durch das Original und blieb damit erst einmal unentdeckt. Doch die PC-Rowdies von damals sind Cyberkriminellen gewichen, die mit im Grunde gleicher Technologie heute versuchen, Passwörter auszuspähen, sich Zugang zu Bankdaten zu verschaffen oder den Rechner als Versender illegaler Spam-Aktionen zu nutzen.

Ziel ist es, Versuche des Anwenders abzufangen, wahre Information darüber zu erhalten, was auf seinem Computer vor sich geht, erläutern die Sicherheitsexperten von Kaspersky Lab und warnen den Windows-Nutzer insbesondere davor, auch dann mit Admin-Rechten zu arbeiten, wenn diese gar nicht gebraucht werden.

Der Quelltexte − und damit das Basisprogramm - vieler Rootkits sei im Internet leicht verfügbar. Das Einfügen von Änderungen ist für die Autoren der Schadprogramme damit ein leichtes Spiel.

Im Wettlauf mit der Erkennung werden Rootkits immer eine Nasenlänge vor den Anti-Virenprogrammen liegen. Kaspersky Lab begründet diese Tatsache mit dem permanenten Erscheinen neuer Technologien und damit, dass die Entwickler der Anti-Virenprogramme Zeit für die Durchführung der Analyse und Bereitstellung der Erkennung benötigen.

Abhängig von den individuellen Möglichkeiten kann der Angreifer sogar verschiedene weitere Schadprogramme enthalten, welche auf dem Computer installiert werden und vom Angreifer die Befehle zur Ausführung abwarten. Manche Programmierer schützen ihren Angriff sogar gegen andere Angreifer, die sich ebenfalls illegalen Zugang zum System verschaffen wollen.

Zum Erkennen von Rootkits kann man keine universellen Ratschläge geben. Doch die Experten von Kaspery Lab empfehlen das Verfolgen anomalen Verhaltens von Programmen, der ungewöhnlichen Nutzung des Netzes, auszuführende Aufgaben beim Systemstart und die registrierten Einträge der Anwender − und selbstverständlich die Anwendung von Antiviren-Software.


(ts) 31.08.2005