Der Angriff kommt von innen

Die Malware lauert im Kernel

22.03.2007
Von 
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Weitere Artikel des Autors

Das erste echte Kernel-Rootkit "WinNT/Infis" wurde für Windows NT-basierte Systeme geschrieben und stammt aus dem Jahr. Eine spätere Version Win2K/Infis.4608 funktioniert auch unter Windows 2000. Besonders verbreitet sind Kernel-Rootkits wie Backdoor.Win32.SdBot und Backdoor.Win32.Rbot auch in IRC-Bots.

Der Analyse zufolge verwenden auch E-Mail-Würmer vermehrt Rootkit-Techniken. Zu nennen wären hier etwa Win32.Bagle oder Win32.Gurong. Beispiele für leistungsstarke Schleusenprogramme mit Rootkit-Funktionalität sind das Trojanische Pferd Haxdoor sowie Mailbot aka Costrat. Letzterer gilt als gefährlichstes Rootkit, denn er kann Firewalls und Viren-Scanner komplett umgehen.

Letzter Ausweg Neu-Installation

Der starke Anstieg von Kernel-Malware erklärt sich dabei aus der Motivation von Angreifern, ihre Schadprogramme so lange wie möglich vor Entdeckung zu schützen. Laut Analyse ist der "einzige dokumentierte Weg" ein Kernel-Rootkit einzuschleusen die Installation eines Kernel-Treibers.

Ein bereits installiertes Kernel-Rootkit lässt sich nur schwer entfernen. Wer ganz sicher gehen will, sollte sein System komplett neu installieren. Die Analyse "Kernel MalwareMalware: The Attack from Within" von Kimmo Kasslin kann bei F-Secure als PDF-Datei heruntergeladen werden. Alles zu Malware auf CIO.de

Zur Startseite