Rootkits - Stealth-Würmer am laufenden Band

22. November 2005, 08:32
6 Postings

Kasperksy warnt vor einem Wurm-Konstruktion-Kit-Boom

Eines der größten Ziele aller Malware-Autoren war es immer schon, die Anwesenheit von Fremdcode in einem System unsichtbar zu machen. Da sich das Schreiben von Schadprogrammen immer mehr von einem Hobby der Script-Kiddies zu einem Profitgeschäft mit kriminellem Hintergrund verwandelt, stehen "Hacker-Geschäftsleute" derzeit vor der Herausforderung, ihre Spuren professionell zu verwischen. Der russischen IT-Experte Kaspersky Lab warnt deshalb vor der derzeit boomenden Rootkit-Technologie zur Verbergung von Malicious-Codes in Systemen.

Rootkit

Ursprünglich bedeutete der Terminus "Rootkit" - Programm-Bausatz, der es dem Hacker ermöglicht, sich auf der gehackten Maschine festzusetzen, und der ein Entdecken durch den User verhindern sollte. Um dies zu erreichen, werden System-Ausführungsdateien oder System-Bibliotheken ausgetauscht, oder ein Kernel-Modul installiert. Ziel dieses Vorganges ist es immer, Versuche des PC-Anwenders abzufangen, wahre Informationen darüber zu erhalten, was auf seinem Computer gerade vor sich geht.

Soruce Code

Der zunehmende Bekanntheitsgrad von Rootkits steht laut Kasperksy mit der öffentlichen Verbreitung der Quelltexte dieser Konstruktion-Kits im Internet in engem Zusammenhang. Das Einfügen von Änderungen ist für die meisten Autoren von Schadprogrammen ein leichtes Spiel. Deshalb ist mit den "Wurm-Werkzeugkisten" die Konstruktion von fast "unsichtbaren" Stealth-Würmern am laufenden Band möglich. Ein weiterer Aspekt, der die Popularität der Rootkits fördert ist die Tatsache, dass die Mehrheit der Windows-Anwender mit Admin-Rechten arbeitet, was den Rootkits eine erfolgreiche Installation auf dem PC bedeutend erleichtert.

Nachlaufen

Beim Wettlauf mit der Erkennung werden Rootkits laut Kaspersky zwar immer eine Nasenlänge vor den Anti-Virenprogrammen liegen, trotzdem gibt es Möglichkeiten, diese Schadprogramme rechtzeitig zu erkennen. Das Verfolgen anomalen Verhaltens von Programmen, der ungewöhnlichen Nutzung des Netzes, ausführende Aufgaben beim Systemstart und die registrierten Einträge der Anwender können laut Kaspersky auf das Vorhandensein eines aktuellen Rootkits hinweisen. Zusätzlich können Hilfsprogramme wie "Saint Jude", "Chrootkit", "RkScan", "Carbonite", "Kstat", "Rootkithunter", "Tripware" oder "Samhain" beim Aufspüren der Stealth-Tools hilfreiche Dienste leisten. (pte)

  • Bild nicht mehr verfügbar
Share if you care.