Angriff aus dem Nichts: Unsichtbares Rootkit entdeckt

Allgemein

Ein landläufiger aktueller Rootkit-Detektor reicht nicht, um die neueste und bislang mieseste Bedrohung für den Rechner aufzuspüren: Ein unsichtbares Rootkit, praktisch so gut wie unmöglich aufzuspüren und zu bekämpfen.

Symantec behauptet, als erste diese neue, umheimliche Generation von Rootkits aufgespürt zu haben: “Dubbed Backdoor.Rustock.A” (und .B soll es auch schon geben). F-Secure verbellte mittlerweile noch “Mailbot.AZ”. Symantec hat das Rootkit auch gleich auf die Beta-Version von Windows Vista losgelassen – mit “Erfolg”.
Die Neuschöpfungen sind im Prinzip eine Mischung aus alten Techniken und neuen Ideen, vermutlich von den fleißigen Programmierern aus Russland. Sie sind so schwer zu entdecken, weil kein messbarer Prozess ablaufe. Sie bleiben innerhalb eines Treibers, nisten sich in Kernel-Threads ein und kontrollieren dessen Funktionen per speziellen IRP-Funktionen.
F-Secure kündigte an, dass ihr BlackLight-Rootkit-Scanner (Build 2.2.1041) die neue Bedrohung entdecken könne, was alles andere als leicht sei. (Nick Farrell/rm)

Linq