Unter den Schadprogrammen, mit denen das Multi-Exploit-Kit MPack derzeit über das Web Rechner zu infizieren versucht, findet sich nach Meinung von Sicherheitsexperten ein Sonderfall: Laut Symantec handelt es sich bei dem auf den Namen "Srizbi" getauften Spam-Trojaner vermutlich um die erste, in freier Wildbahn beobachtete Full-Kernel-Malware.

Statt nach gängiger Malware-Manier nur einige Aktivitäten mittels Rootkit-Technik zu tarnen, soll der aktuelle Schädling komplett verdeckt agieren. Nach einem Blog-Eintrag von Kaoru Hayashi, Senior Security Response Engineer bei Symantec, kommt der Trojaner ohne jedes Mitwirken des Anwenders und führt sämtliche Aktivitäten – inklusive seiner Hauptaufgabe, dem Spam-Versand - direkt im Kernel-Modus aus.

Den Ausführungen des Security-Experten zufolge manipuliert Srizbi die Netzverbindung direkt im Kernel-Modus, indem er NDIS- und TCP/IP-Treiber hinzufügt und so alle Funktionen erhält, die er braucht. "Das ermöglicht dem Trojaner auch, Firewalls und Sniffer-Werkzeuge zu umgehen und sämtliche Netzaktivitäten zu verbergen", so Hayashi.

Laut Dave Cole, Director bei Symantecs Security Response Team, bietet demnach Sicherheitssoftware, die sich bei der Malware-Erkennung ausschließlich auf Windows-APIs stützt, keinen Schutz vor dem Spam-Trojaner. Dazu seien moderne Anti-Rootkit-Techniken erforderlich.

Nach den Untersuchungen der Symantec-Forscher scheint der Trojaner-Neuling Srizbi allerdings noch nicht ganz ausgereift. So lasse sich die Anwesenheit des Schädlings über einen Registry Key feststellen, den die Rootkit-Komponente der Malware zufällig nicht verberge, so Hayashi.

Das Multi-Exploit-Kit MPack war erst vor kurzem für eine groß angelegte Attacke auf zehntausende Web-Sites verantwortlich. (kf)