Die Bedrohung von Morgen sitzt tief im Betriebssystem

EnterpriseSicherheit

Symantec macht an einem Beispiel klar, wie die Bedrohungen der kommenden Monate voraussichtlich aussehen werden.

Die Sicherheitsexperten des Herstellers haben 2006 eine Familie von Schädlingen mit dem Namen ‘Rustock’ ausgemacht. Der erste Spross dieser Familie machte vor knapp einem Jahr die Runde, und dennoch ist Rustock aktuell, glaubt Symantec.

Rustock ist ein Schädling, der sich auf dem PC einnistet und ein Hintertürchen für Hacker öffnet. Soweit unterscheidet ihn nichts von anderem Schad-Code. Jedoch basiert Rustock auf so genannten Rootkit-Technologien.

Er begibt sich in die Tiefen des Betriebssystems, wo ihm die meisten Virenfilter nichts mehr anhaben können. Solange ein solcher Trojaner noch nicht auf dem Rechner ist, ist es nicht sonderlich schwer, den Schädling über entsprechende Programme auszumerzen. Hat er sich jedoch erst einmal in den Wurzeln des Betriebssystems festgebissen, lässt er sich nur noch schwer erkennen und entfernen.

Die Sicherheitsforscher glauben nun, dass Hacker sich dieser neuen Technologien bemächtigen und 2007 vor allem Rootkit-Trojaner in Umlauf bringen werden. Daher müssten Anwender und vor allem Hersteller von entsprechenden Lösungen sich auf diese neue Bedrohung einstellen. Für die Hersteller bedeute das, tiefer im System zu graben, als es die Hacker tun.

Rustock etwa verändert zufällig seine Gestalt, um den Filtern der Virenjäger zu entkommen. Nistet er sich ein, missbraucht er das infizierte System um Bilder-Spam zu verschicken. Rustock klinkt sich in den Windows-Kernel ein und verändert verschiedene APIs.

Damit verhindert er, dass die neuen Dateien und Schlüssel, die er in der Registry anlegt für das Betriebssystem sichtbar werden. Zudem verändert er die Einstellungen der Windows-Firewall, um besseren Zugriff auf Internetverbindungen zu bekommen.