Totgesagte leben länger: Ein 2007 erstmals auf Sony-USB-Sticks entdecktes Rootkit zum Verstecken von Authentisierungssoftware ist wieder aufgetaucht -- diesmal in Sicherheitssoftware für Unternehmen. Nach Angaben der Malware-Spezialisten von Trend Micro ist das Rootkit offenbar im Lieferumfang einer Enterprise-Information-Security-Software enthalten (EIS). Mit EIS-Software lassen sich etwa Richtlinien und Prozesse auf ihre Einhaltung überwachen.


Der Beschreibung nach verankert sich das Rootkit (SCS11HLP.SYS) als Treiber im System und verbiegt einige APIs, indem es deren Code zur Laufzeit manipuliert. Anschließend versteckt es zur EIS-Software gehörende Prozesse und macht einen zur Protokollierung verwendeten Ordner (C:\XLog) unsichtbar, so dass etwa der Explorer sie nicht mehr anzeigen kann. Nach Angaben von Trend Micro ist das Verstecken von Ordnern nicht per Definition schädlich, allerdings bietet es auch Malware Gelegenheit, sich etwa vor Virenscannern zu verbergen. Gerade diese Möglichkeit wurde aber auch schon vor drei Jahren beim ersten Sony-Rootkit auf Musik-CDs kritisiert, bei dem das Rootkit Kopierschutzsoftware verstecken sollte.
Den Namen des chinesischen Herstellers der EIS-Software nennt Trend Micro vorerst nicht. Er soll aber das Rootkit nicht nur in seinen eigenen Lösungen verwenden, sondern es selbst entwickelt – und offenbar auch als OEM-Lösung wie für Sonys USB-Stick vertrieben – haben. Trend Micro hat das Rootkit in seine Signaturdatenbank aufgenommen (HKTL-BRUDEVIC).
Siehe dazu auch:

• Suspicious Rootkit Lurks in EIS Software, Bericht von Trend

(dab/c't)

Quelle: heise.de

__________________