Mit den Schäden, die so genannten Rootkits verursachen können, und dem Kampf gegen diese Bedrohung befasst sich der Artikel der Kaspersky Lab-Experten Alexey Monastyrsky, Konstantin Sapronov und Yury Mashevsky.
Wie versteck' ich mein Virus?
Eines der größten Probleme für die Malware-Autoren war schon immer ihr Unvermögen, die Anwesenheit eines Fremdcodes im System für den Anwender auf Dauer unsichtbar zu machen, im Idealfall sogar für das Antivirus-Programm.
In der letzten Zeit, da sich das Schreiben eines Schadprogramms immer mehr von einer Beschäftigung aus jugendlichem Leichtsinn in ein Profitgeschäft mit kriminellem Hintergrund umwandelt, stehen besonders die Leute, die Hackem als Geschäft betreiben, vor der aktuellen Herausforderung, die "Spuren zu verwischen". Auf welche Weise kann man ein Programm zum Diebstahl von Bankdaten oder einen illegalen Proxy-Server für den Spam-Versand vor dem Eigentümer des Computers verbergen?
Die modernen Cyberkriminellen lösen dieses Problem genauso, wie es die "Cyber-Hooligans" vor zehn bis 15 Jahren lösten: Einer der ersten Viren für den PC war "Virus.Boot.Brain.a", ein bootfähiges Schadprogramm, das Systemfunktionen für den Zugang zur Festplatte abfing und beim Lesen des Bootsektors, beispielsweise durch ein Antivirus-Programm, anstelle der infizierten die Originaldaten einsetzte. Mit der Zeit wurden dieselben "stealth"-Mechanismen (Abfangen von Systemfunktionen und Unterschiebung von Daten) in Windows-Viren der Familie "Virus.Win32.Cabanas" verwendet.
Ursprung in Unix
Schadprogramme für Unix sind noch nicht so weit verbreitet, wie für DOS und Windows, jedoch gerade von dort kam der Terminus Rootkit, der jetzt sehr häufig zum Unsichtbarmachen von Schadprogrammen verwendet und von Autoren der Trojanerprogramme für Windows eingesetzt wird.