Der Angriff kommt von innen

Die Malware lauert im Kernel

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.

Das erste echte Kernel-Rootkit "WinNT/Infis" wurde für Windows NT-basierte Systeme geschrieben und stammt aus dem Jahr. Eine spätere Version Win2K/Infis.4608 funktioniert auch unter Windows 2000. Besonders verbreitet sind Kernel-Rootkits wie Backdoor.Win32.SdBot und Backdoor.Win32.Rbot auch in IRC-Bots.

Der Analyse zufolge verwenden auch E-Mail-Würmer vermehrt Rootkit-Techniken. Zu nennen wären hier etwa Win32.Bagle oder Win32.Gurong. Beispiele für leistungsstarke Schleusenprogramme mit Rootkit-Funktionalität sind das Trojanische Pferd Haxdoor sowie Mailbot aka Costrat. Letzterer gilt als gefährlichstes Rootkit, denn er kann Firewalls und Viren-Scanner komplett umgehen.

Letzter Ausweg Neu-Installation

Der starke Anstieg von Kernel-Malware erklärt sich dabei aus der Motivation von Angreifern, ihre Schadprogramme so lange wie möglich vor Entdeckung zu schützen. Laut Analyse ist der "einzige dokumentierte Weg" ein Kernel-Rootkit einzuschleusen die Installation eines Kernel-Treibers.

Ein bereits installiertes Kernel-Rootkit lässt sich nur schwer entfernen. Wer ganz sicher gehen will, sollte sein System komplett neu installieren. Die Analyse "Kernel MalwareMalware: The Attack from Within" von Kimmo Kasslin kann bei F-Secure als PDF-Datei heruntergeladen werden. Alles zu Malware auf CIO.de

Zur Startseite