(openPR) Der russische Security- und Antivirus-Spezialist Dr.Web veröffentlicht eine Lösung für die Beseitigung eines Rootkits das monatelang nicht in den Griff zu bekommen war. Rootkits öffnen häufig unentdeckt einen Rechner sperrangelweit, installieren eine Reihe von Tools wie Trojaner oder andere Spionageprogramme oder verwandeln den Computer eines ahnungslosen Benutzers unbemerkt in eine Spamschleuder.
Besonders heimtückisch ist das Rootkit mit der Bezeichnung Win32.Ntldrbot, das auch 'Rustock.C' genannt wird. Erste Versionen dieser Schadsoftware erschienen bereits vor einigen Jahren, und die aktuelle Variante ist schon seit Oktober 2007 aktiv.
Derzeit einzige eliminierende Antiviren-Software für Win32.Ntldrbot und seine 600 aktiven Ableger
Anwender die bereits die Sicherheits-Software Dr.Web Antivirus einsetzen, brauchen sich keine Sorgen mehr zu machen, denn der Hersteller hat jetzt eine Version veröffentlicht, die auch Rustock.C erkennt und eliminiert.
Nach Hersteller-Angaben ist sie derzeitig die einzige Antiviren-Software, die dieses Rootkit aufspüren kann. Der Virenüberwachungsdienst von Dr.Web fand über 600 Ableger des Rootkits, und niemand weiß, wie viele noch aktiv sind. Die Analyse des Rootkits zur Aufnahme der Erkennungstechnologie in das Antivirenprogramm nahm mehrere Wochen in Anspruch.
Warum ist Win32.Ntldrbot nur schwer zu entdecken ?
Hauptaufgabe des Rootkits Win32.Ntldrbot ist die Infektion von PCs und die Verwandlung in ein sogenanntes Botnet, ein gewaltiges Netzwerk, dessen Aufgabe die Verbreitung von Spam ist. Das russische Sicherheitsunternehmen Dr.Web ist der Auffassung, dass Rustock.C und die vielen Botnets rund um die Welt zu den Hauptgründen der derzeit grassierenden Spam-Welle gehören.
Seine ausgeklügelte polymorphe Schutzvorrichtung erschwert die Analyse des Rootkits. Da es sich als Treiber installiert, sitzt es auf der untersten Betriebssystem-Ebene. Rustock.C schützt sich selbst und verwendet aktive Anti-Debugging-Techniken, etwa die Überwachung von Hardware-Registern. So lässt es sich nicht mit normalen Debuggern erkennen. Die Systemfunktionen werden von einer Seite aus beeinflusst, die der Anwender (und Programmierer) nicht erkennt. Win32.Ntldrbot arbeitet als Dateivirus und infiziert Systemtreiber. Dabei passt es sich an die Hardware der infizierten Maschine an. Da es durch das System 'wandert' und immer nur eine Datei auf einmal infiziert, ist seine Existenz nur schwer festzustellen. Aufrufe der infizierten Datei werden gefiltert und Treiberaufrufe umgeleitet. Eine integrierte Anti-Rootkit-Schutzvorrichtung soll die Erkennung verhindern.
Erkennen und säubern mit dem kostenlosen Dr.Web-Tool
Wer Dr.Web (Antivirus) bereits einsetzt und stets aktualisiert, kann sicher sein, dass Rustock.C auf seinem Rechner erkannt wird (sofern dieser infiziert ist) oder bereits vorher abgewehrt wird. Um sich von der Erkennungsleistung zu überzeugen, können Anwender auch kostenlos die Software Dr.Web CureIt! herunterladen, die das Win32.Ntldrbot (Rustock.C) erkennt und beseitigt. Das Programm steht im Internet unter www.freedrweb.com zum Download bereit.
