Thema: Rootkits gehen aktiv gegen Schutzprogramme vor

[SiLæncer]

Die kommerziell angebotene Version eines bekannten Rootkits wehrt sich aktiv gegen Rootkit-Scanner.

Der Einsatz von so genannten Rootkits durch Programmierer schädlicher Software nimmt weiter zu. Der finnische Antivirus-Hersteller F-Secure hat eine kommerzielle Version eines Rootkits analysiert und festgestellt, dass dieses aktiv gegen Anti-Rootkit-Software vorgeht.

Im Virenlabor von F-Secure landete "Golden Hacker Defender" auf dem virtuellen Seziertisch. Diese nicht frei erhältliche Version des Rootkits "Hacker Defender" entdeckten die Administratoren eines nicht genannten Unternehmens auf mehreren ihrer Windows-Server, als sie die neueste Beta-Version von F-Secure "Blacklight" testeten. Blacklight ist ein Programm zum Aufspüren und Entfernen von Rootkits ( wir berichteten ).

Die vermutlich mehrere hundert Euro teure Version von Hacker Defender enthält ein Modul zur Erkennung von Programmen, die ihr gefährlich werden könnte. Es arbeitet wohl ähnlich wie ein klassischer Virenscanner. Es kennt digitale Fingerabdrücke moderner Anti-Rootkit-Programme und setzt diese außer Gefecht, noch bevor sie mit ihrer Arbeit beginnen können.

Diese Signaturen können aktualisiert werden, damit das Rootkit auch neuere Versionen seiner Gegner erkennt. Die Entdeckung dieses Rootkits mit Blacklight war nur möglich, weil eine neue Beta-Version von Blacklight verwendet wurde, die dem Rootkit noch nicht bekannt war.

Rootkits versuchen also die Sicherheitsprogramme mit ihren eigenen Waffen zu schlagen. Damit wird mal wieder eine neue Runde im Spiel "Hase gegen Igel" eingeläutet. Beide Seiten stehen im Wettbewerb um die Bereitstellung neuer Versionen, die den Gegner erkennen und schlagen können. Mit der automatischen Update-Funktion moderner Virenscanner haben die Antivirus-Hersteller im Moment einen leichten Vorteil.

Sie benötigen jedoch Exemplare der neuesten kommerziellen Rootkit-Versionen, die nicht so leicht zu beschaffen sind, will man sie nicht beim Programmierer kaufen. Dieser wiederum benötigt lizensierte Versionen der jeweiligen Anti-Rootkit-Software, um sein Machwerk mit deren neuesten Updates zu testen.

Quelle : www.pcwelt.de

[SiLæncer]

Wie können Rootkits entfernt werden, die auch im abgesicherten Modus aktiv sind?

Im Internet Storm Center des SANS-Instituts machen sich freiwillige Helfer Gedanken über Windows Rootkits, die auch im abgesicherten Modus aktiv sind. Von dem Rootkit "Haxdoor" sind zumindest zwei Varianten bekannt, die weiterhin schädliche Prozesse verbergen, auch wenn Windows im abgesicherten Modus gestartet wird.

Die Beschreibung von Symantec zu der ersten Variante, Haxdoor.E empfiehlt zur Entfernung den Einsatz der Wiederstellungskonsole von Windows XP und 2000. Dazu starten Sie den Rechner von der Windows-CD und drücken auf dem Eingangsbildschirm die Taste "R" (Recovery).

Sie müssen sich mit dem Administrator-Passwort anmelden und erhalten dann eine karge Textkonsole. Diese stellt nur ganz wenige, noch von DOS bekannte Befehle bereit. Sie müssen jede einzelne zum Rootkit gehörende Datei mit dem Kommando "DEL" löschen. Die Dateinamen und Speicherorte nennt Symantec.

Der finnische Antivirus-Hersteller F-Secure empfiehlt sein Produkt "Blacklight", das speziell zum Aufspüren von Rootkits entwickelt wurde (wir berichteten). Eine bis Anfang Januar 2006 benutzbare Beta-Version ist kostenlos erhältlich. Blacklight ist auch in den aktuellen Produkten von F-Secure enthalten.

Weit mehr Komfort als die Wiederherstellungskonsole bietet ein von CD startendes Windows XP, das Sie sich mit Bart PE erstellen können. Als letzte Alternative bleibt das Neuinstallieren von Windows nach dem Formatieren der Festplatte.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/121909/index.html

[Jürgen]

Wie können Rootkits entfernt werden, die auch im abgesicherten Modus aktiv sind?Als letzte Alternative bleibt das Neuinstallieren von Windows nach dem Formatieren der Festplatte.

...als BESTE Alternative!
Mehrere Generationen von Backups sollte man natürlich haben...
Internet abstöpseln.
Plattmachen, ein ausreichend altes sauberes Backup aufspielen.
Dann über einen anderen sauberen Rechner die Patches und aktuelle Virendefinitionen besorgen und brennen usw.
Vollständig prüfen.
Erst danach wieder ans Netz!