Experten warnen vor Kernel Rootkits

Sicherheitsexperten haben auf der ‘RSA Conference’ in San Francisco vor einer neuen Generation von ‘Kernel Rootkits’ gewarnt. Ein Rootkit ist eine Software-Sammlung, mit der ein Hacker nach dem Einbruch in einen Computer seine künftigen Logins verbirgt. Der Eindringling agiert damit als Administrator (Root). Der Begriff Rootkit kommt aus der Unix-Welt, wird heute jedoch auch für Betriebssysteme angewandt, die keinen Root-Account haben.

Einfach programmierte Rootkits laufen im Hintergrund. Sie sind jedoch leicht zu entdecken, indem man den Arbeitsspeicher oder die Kommunikation des Rechners kontrolliert. Kernel Rootkits ändern dagegen den Kernel, den zentralen Bestandteil des Betriebssystems. Dieser Typ Malware verbreitet sich immer weiter und kann dazu genutzt werden, eine neue, gefährliche Generation von Viren und Sypware zu schaffen, warnen die Experten.

Danach sind Kernel Rootkits wie ‘Hacker Defender’, ‘FU’ oder ‘Vanquish’ für viele Anti-Viren-, Anti-Spyware und Intrusion-Detection-Produkte unsichtbar. Der Grund: Jedes Kernel Rootkit nutzt andere Taktiken. Und die wirksamsten Tools gegen diese Malware stammen nicht von den Sicherheitsunternehmen, sondern von den Rootkit-Autoren.

Eine Möglichkeit, um ein Kernel Rootkit in Windows-Netzwerken zu entdecken, ist die Verwendung von ‘Windows PE’, einer abgespeckten Version von Windows XP. Damit kann der Rechner von einer CD aus gebootet werden. Dann wird das Profil eines sauberen Systems mit dem des potentiell verseuchten Rechners verglichen.

Microsoft hatte im Juli 2004 das Tool ‘Strider GhostBuster’ online gestellt, mit dem Computer nach Rootkits durchsucht werden können. Wolle ein Anwender ganz sicher sein, über ein System ohne Kernel Rootkits zu verfügen, solle er das befallene Laufwerk löschen und das Betriebssystem neu installieren, so die Experten.