Der Kernel ist das Herz moderner Betriebs-Systeme. In ihm ist die Prozess- und Daten-Organisation festgelegt, auf der alle weiteren Software-Bestandteile eines Betriebs-Systems aufbauen. Dem Malware-Forscher zufolge haben die Angriffe auf das Herz des Betriebs-Systems in den letzten Jahren deutlich zugelegt.
Immer mehr Kernel-Malware
Wurden im Jahr 2003 noch durchschnittlich 0,67 neue Malware-Familien pro Monat identifiziert, stieg die Zahl im Jahr 2004 auf eine neue Malware-Familie pro Monat. Ab 2005 ist ein dramatischer Anstieg zu verzeichnen. So wurden durchschnittlich 3,42 neue Malware-Familien pro Monat erkannt. Die Kurve geht im Jahr 2006 zwar wieder nach unten, bleibt allerdings auf hohem Niveau. Derzeit werden pro Monat im Durchschnitt 2,63 neue Kernel-Malware gefunden.
Das Tückische daran: Kernel-Rootkits ersetzen Teile des Betriebs-System-Kerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können.
Firewalls und Viren-Scanner umgehen
Malware - so genannte Kernel-Rootkits -, die den Kern eines Systems infiziert hat, umgeht dabei nicht nur herkömmliche Firewalls und Viren-Scanner, sondern hat auch Zugriff auf alle Computer-Ressourcen.
Das erste echte Kernel-Rootkit "WinNT/Infis" wurde für Windows NT-basierte Systeme geschrieben und stammt aus dem Jahr. Eine spätere Version Win2K/Infis.4608 funktioniert auch unter Windows 2000. Besonders verbreitet sind Kernel-Rootkits wie Backdoor.Win32.SdBot und Backdoor.Win32.Rbot auch in IRC-Bots.
Der Analyse zufolge verwenden auch E-Mail-Würmer vermehrt Rootkit-Techniken. Zu nennen wären hier etwa Win32.Bagle oder Win32.Gurong. Beispiele für leistungsstarke Schleusenprogramme mit Rootkit-Funktionalität sind das Trojanische Pferd Haxdoor sowie Mailbot aka Costrat. Letzterer gilt als gefährlichstes Rootkit, denn er kann Firewalls und Viren-Scanner komplett umgehen.
Letzter Ausweg Neu-Installation
Der starke Anstieg von Kernel-Malware erklärt sich dabei aus der Motivation von Angreifern, ihre Schadprogramme so lange wie möglich vor Entdeckung zu schützen. Laut Analyse ist der "einzige dokumentierte Weg" ein Kernel-Rootkit einzuschleusen die Installation eines Kernel-Treibers.
Ein bereits installiertes Kernel-Rootkit lässt sich nur schwer entfernen. Wer ganz sicher gehen will, sollte sein System komplett neu installieren. Die Analyse "Kernel Malware: The Attack from Within" von Kimmo Kasslin kann bei F-Secure als PDF-Datei heruntergeladen werden.