Virenscanner erkennt Rootkit Win32.Ntldrbot
Kostenloses Tool gegen Rootkits
Der russische Security- und Antivirus-Spezialist Dr. Web veröffentlicht eine Lösung für die Beseitigung eines Rootkits, das monatelang nicht in den Griff zu bekommen war. Das Rootkit Win32.Ntldrbot ist nach Angaben von Dr. Web in der aktuellen Version seit Oktober 2007 aktiv. Das Unternehmen fand 600 aktive Ableger. Anwender, die bereits die Sicherheitssoftware Dr. Web Antivirus einsetzen, erhalten jetzt automatisch die aktuelle Version, die das Rootkit erkennt und abwehrt oder bei infizierten Systemen eliminiert. Wer die Software nicht verwendet, kann sich das Freeware-Tool
Dr. Web Cureit herunterladen, das Win32.Ntldrbot (Rustock.C) ebenfalls erkennt und beseitigt.
Weitere Infos zum Thema:
–
Zwölf Prozent der PC-Anwender wissen nicht um die Rootkit-Gefahr
–
Auch 2008 keine Besserung beim Mail-Müll in Sicht
Rootkits öffnen häufig unentdeckt einen Rechner für den Internetzugriff, installieren eine Reihe von Tools wie Trojaner oder andere Spionageprogramme oder ermöglichen die Nutzung des Rechners von außen zum Beispiel für das Versenden von Spam. Hauptaufgabe des Rootkits Win32.Ntldrbot, das auch "Rustock.C" genannt wird, ist die Infektion von PCs und deren Verwandlung in ein Botnet, ein Netzwerk, dessen Aufgabe die Verbreitung von Spam ist. Dr. Web ist der Auffassung, dass Rustock.C und die vielen Botnets rund um die Welt zu den Hauptgründen der derzeit grassierenden Spam-Welle gehören.
Das Rootkit installiert sich als Treiber, sitzt auf der untersten Betriebssystemebene und schützt sich selbst. Es verwendet dazu aktive Anti-Debugging-Techniken, etwa die Überwachung von Hardwareregistern. So lässt es sich nicht mit normalen Debuggern erkennen. Die Systemfunktionen werden von einer Seite aus beeinflusst, die der Anwender (und Programmierer) nicht erkennt. Win32.Ntldrbot arbeitet als Dateivirus und infiziert Systemtreiber. Dabei passt es sich an die Hardware der infizierten Maschine an. Da es durch das System wandert und immer nur eine Datei auf einmal infiziert, ist seine Existenz nur schwer festzustellen. Aufrufe der infizierten Datei werden gefiltert und Treiberaufrufe umgeleitet. Eine Schutzvorrichtung soll die Erkennung verhindern.
LANline/dp
Lesen Sie mehr zum Thema
