Rootkit-Interview

Auf Securityfocus ist ein Interview mit Greg Hoglund und Jamie Butler erschienen, den Machern hinter rootkit.com. Das Interview beschäftigt sich unter anderem mit der Technik, die Rootkits verwenden. Sie ist laut Butler kaum anders als bei gängigen Systemtreibern.

Die neuen Hot-Patching-Funktionen im Service Pack 2 für Windows XP seien ein Segen für Rootkit-Entwickler. Dann damit ist kein Reboot mehr nötig, um ein Rootkit im System zu verankern. Butler: „Hot-patching is becoming a market necessity for large, critical servers, but it also plays into the hands of the attacker making things easier.“

Obwohl es sie seit Jahren gibt, sind Windows Rootkits noch immer weitgehend unbekannt. Das mag an dem Klassiker liegen: „Nur ein schlechtes Rootkit wird gefunden.“ Wie auch immer, ein Gegentrend zeichnet sich laut Butler ab:

„This year seems to be the year of the rootkit. Other than file signatures, this is the first year we have really seen vendors take the threat of rootkits more seriously. Two tools were even released earlier this year: Rootkit Revealer from Sysinternals and Black Light from F-secure. Both of these were designed to find files, processes, and Registry keys that rootkits have hidden.“

Soweit mir bekannt, ist Blacklight mittlerweile Bestandteil der Internet Security Suite 2006 von F-Secure. Der kostenlose Rootkit Revealer ist jedenfalls immer noch ein Standalone-Produkt und absolut empfehlenswert — auch wenn er nicht desinfizieren kann. Findet er ein Rootkit, bleibt in vielen Fällen nur die Neuinstallation von einem garantiert sauberen Medium.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.