Verschiedene Sicherheitsfirmen haben ein neues Rootkit gefunden, das kaum noch zu entdecken ist. Der Super-Schädling "Rustock" kommt wahrscheinlich aus Russland, wird ständig weiter entwickelt und läuft auch unter Windows Vista.
Symantec hat breits eine Weiterentwicklung "Backdoor.Rustock.B" gefunden. Der Schädling versteckt sich im NTFS ADS, einer Art Dateierweiterung, und benutzt weitere Rootkit-Techniken, um dort möglichst unsichtbar zu sein. Er verwendet keinen eigenen Prozess, sondern läuft innerhalb eines Treibers sowie in Kernel-Threads. Zudem benutzt er keine API, sondern greift auf den Kernel über IRP-Funktionen zu.
Rustock erkennt Rootkit-Scanner und ändert sein Verhalten, um nicht entdeckt zu werden.
Quelle: PC Advisor
News: Läuft auch unter Vista
Crazy Eye
Redaktion
