Web

 

Tarnkappe für Malware

29.08.2005

MÜNCHEN (COMPUTERWOCHE) - Sicherheitsexperten zufolge können Bösewichte ihre Malware auf einem Windows-PC verbergen, indem sie übermäßig lange Registrierungsschlüssel verwenden. Zwar durchforsten einige Antivirus- und Anti-Spyware-Produkte die Windows-Registry nach bösartiger Software, aufgrund der neu entdeckten Schwachstelle können Schadprogramme dort jedoch auch unbemerkt ihr Unwesen treiben, so der US-amerikanische Sicherheitsanbieter Stillsecure.

Das SANS Internet Storm Center (ISC) hat vergangene Woche eine Liste von Applikationen veröffentlicht, die sich durch die Verwendung längerer Registrierungsschlüssel austricksen lassen. Aufgeführt sind dort unter anderen "Adaware", Microsofts "Antispyware", "Hijackthis", "Norton SystemWorks 2003 Pro" sowie Microsofts "Windows Registry Editor" und "Windoctor". Für Nutzer sei es wichtig zu wissen, dass ihre lokalen Systeme eventuell einen "toten Winkel" aufweisen, gibt auch SANS-Partner Robert Danford zu bedenken. Er empfiehlt demnach, in den kommenden Wochen auf Produkt-Updates zu achten.

Am wichtigsten seien die so genannten "Run"-Schlüssel in der Registry, die zum Starten von Applikationen beim Booten des PCs verwendet werden. Laut Mitchell Ashley, Chief Technology Officer (CTO) bei Stillsecure, erkennen Microsofts Registry Editor sowie eine Reihe populärer Sicherheitsprogramme überlange Registrierungsschlüssel in der Windows-Registry nicht - und dennoch würden die Applikationen gestartet. "Für Spyware-Programmierer wäre es anhand dieser Technik ein Leichtes, beispielsweise einen Key-Logger auf einem Rechner zu verbergen", so der Experte.

Microsoft ist eigenen Angaben zufolge dabei, der Schwachstelle auf den Grund zu gehen. Allerdings handelt es sich dabei nach Ansicht der Redmonder weniger um ein Sicherheitsloch als vielmehr um eine Funktion innerhalb des Betriebsystems, die missbraucht werden könne.

Nach Angaben von SANS gibt es erste Anhaltspunkte, dass diese von Malware als "Verschleierungstechnik" genutzt wird. Die Schwachstelle wird von Secunia und dem französischen Sicherheitsportal French Security Incident Response Team (FrSIRT) allerdings als "nicht kritisch" beziehungsweise "low risk" eingestuft. (kf)