Wie ein Rootkit schädlichen Code vor der Antivirus-Software verbirgt

Eine Tarnkappe für Trojaner, Backdoor, Internet-Virus und Spyware

14.11.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Ein Rootkit wirkt wie eine Tarnkappe für Malware.
Ein Rootkit wirkt wie eine Tarnkappe für Malware.

Theoretische Gefahren

All diese Angriffsformen werden immer häufiger, weil sich fertige Rootkit-Module im Netz finden. Demnach kann jedes Script-Kiddie, das sich einen Virus aus vorgefertigten Versatzstücken zusammenklickt, auch mühelos eine Rootkit-Funktion implementieren.

Neben diesen Alltagsangriffen gibt es theoretische Gefahren, die zwar derzeit kein Thema darstellen, aber geradezu beängstigende Perspektiven aufzeigen. Schon vor einem Jahr untersuchte der Forscher John Heasman die theoretische Möglichkeit, Rootkit-Funktionen in BIOS- oder Firmware-Flash-Speicher abzulegen.

Seine Studie Implementing and Detecting a PCI Rootkit (Englisches PDF, 297 KB) ist kaum mehr als ein Proof-of-Concept, aber allein die Möglichkeit muss erschrecken. Da Flash-Speicher zweifellos weiter wachsen, ist es sicher, dass dort immer komplexere Programme Platz finden werden. Folglich wächst auch die Gefahr.

Noch erschreckender ist eine andere Zukunftsvision: Virtualisierung von Rechnern wird zu einem immer bedeutenderen Thema. Es ist absehbar, dass dies über kurz oder lang zu einer Standard-Betriebssystem-Funktion wird.

Bereits jetzt wird die Möglichkeit diskutiert (und teilweise sogar demonstriert), dass ein Rootkit das echte Betriebssystem in eine virtualisierte Umgebung verschieben könnte. Dies würde die Entdeckung eines Rootkits zwar nicht unmöglich machen (auch jetzt können z.B. Viren erkennen, wenn sie in einer virtuellen Umgebung laufen), aber doch erheblich erschweren.

Fazit

Eigentlich sind Tarnfunktionen von Malware nichts Neues. Jedes Virus versucht, es dem Antivirenprogramm möglichst schwer zu machen. Bei diesem immerwährenden Rüstungswettlauf ist man eben mittlerweile bei so ausgeklügelten Lösungen angelangt, dass diese den neuen Namen Rootkit erhalten.

Damit hat sich aber nichts Wesentliches an den Eckdaten dieses Konkurrenz geändert: Der Administrator kann weiterhin nur hoffen, dass der Antivirus-Herstellers seines Vertrauens den Schädlingsprogrammierern eine Nasenspitze voraus ist.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2009093 / Mobile- und Web-Apps)