05.11.2008, 12:20 Uhr
Anti-Malware-Tool befreit 100 000 Rechner
Mit dem Oktober-Update erhielt Microsofts "Malicious Software Removal Tool" (MSRT) die Signaturen einer bösartigen Rootkit-Malware. Den Redmondern zufolge konnten bislang rund 100'000 PCs vom so genannten Rustock-Rootkit gesäubert werden.
Die im Zuge des Oktober-Patchday veröffentlichte MSRT-Version zielt auf eine weit verbreitete Rootkit-Familie namens "Rustock". Wie Scott Wu vom Microsoft Malware Protection Center (MMPC) meldet, konnte das MSRT mit Stand Ende Oktober Rustock-Rootkits auf über 99'000 Rechner entdecken und entfernen. Die meisten der befallenen Rechner (41 Prozent) sind in den USA beheimatet, gefolgt von Frankreich mit 6,3 Prozent und Spanien mit knapp sechs Prozent.
Microsofts Malware-Tool unterscheidet und erkennt zehn Varianten des Rustock-Rootkits. 80 Prozent der entdeckten Rootkits entfallen auf die als "Backdoor:WinNT/Rustock.E" bezeichnete Variante. Die Version "Rustock.C" kommt auf knapp 13 Prozent, der Rest verteilt sich auf die übrigen Varianten. Das Rustock-Rootkit besteht meist aus drei Komponenten, die zunächst in einer Datei stecken und sich wie die berühmten russischen Matrjoschka-Puppen nacheinander entblättern. Zunächst kommt der so genannte Dropper, der das Programm zum Installieren des Rootkit-Treibers startet. Der Rootkit-Treiber und sein Installationsprogramm laufen im Kernel-Modus von Windows.
Einige Rustock-Varianten ersetzen zur Tarnung einen legitimen, seltener benötigten Systemtreiber, wie "beep.sys" (für den internen PC-Lautsprecher) oder "null.sys". Andernfalls benutzt Rustock einen obskuren, aber unverdächtig erscheinenden Dateinamen wie "glaide32.sys" oder "lzx32.sys" oder zufällig generierte Ziffernfolgen. Weitere Details zum Rustock-Rootkit liefert Oleg Petrovsky im MMPC-Blog.
