Rootkits machen Virenscanner blind

War wohl nix mit Sicherheit: Über Rootkits versteckte Schädlinge werden einfach übersehen, fanden Tester von PCProfessionell heraus. Ein von allen gängigen Virenscannern erkanntes Exemplar des Netsky.C Wurms wurde zum Test auf einen Rechner eingeschleust, in dem das Rootkit aktiviert und die verseuchte Datei damit versteckt wurde.

Weder der Windows-Explorer noch der dir-Befehl im DOS-Fenster zeigten die Datei dann noch an. Geradezu erschreckend war aber, dass die Programme von GData, McAfee und Panda sowie das neue Antivir den Schädling auch nicht mehr aufspürten. F-Secure Anti-Virus brachte bei einem Scan über alle Laufwerke (Festplatten nach Viren scannen) auch keine Meldung – erst bei der Option “Computer vollständig überprüfen” oder “Rootkits nach Spyware scannen” wurde er fündig.

Norton Antivirus identifizierte Netsky trotz Tarnkappe auf Anhieb. Nur die Bildschirmausgabe stiftete etwas Verwirrung: Im Test meldet der Scanner sechs verbleibende Risiken, zeigte aber nur eines davon an (eine ungetarnte Datei). Nach deren Entfernung verblieben angeblich noch fünf Risiken, während laut einer anderen Meldung alle behoben waren.

Sicheres Aufspüren von Rootkits gelang dagegen mit Rootkit Revealer (www.sysinternals.com/Utilities/RootkitRevealer.html) Im Test findet das Programm auch versteckte Malware. Als Ergänzung zu einer Antiviren-Software bietet F-Secure seine Rootkit-Erkennung namens Blacklight (www.f-secure.de/blacklight) auch als kostenlose, zeitlich begrenzte Einzellösung an. Im Test findet das Tool – wie das Antivirenpaket auch – alle Dateiverstecke. (rp/mk)