Massiv utbredelse av Windows-rootkits

Svært mange Windows XP-brukere må fjerne rootkit som er blitt installert på maskinen deres.

Mer enn 20 prosent av all den ondsinnede programvare som fjernes fra Windows XP med Service Pack 2 (SP2) installert, er skjulte rootkits. Dette sier Jason Garms, arkitekt og en av lederne ved Microsofts Anti-Malware Technology Team, til eWeek.

Ifølge Garms er det åpen kildekodebasert FU-rootkits som oftest må fjernes. Tallene stammer fra Microsofts egen, fritt tilgjengelig produkt for fjerning av ondsinnet programvare i Windows, Malicious Software Removal Tool.

- Jeg kan fortelle at FU ligger på femteplass på listen over ondsinnet programvare som er blitt mest fjernet. Vi finner FU i mange versjoner av Rbot, sier Garm. Rbot er en IRC-kontrollert bakdør som gir ondsinnede kontroll over det infiserte systemet.

Dessuten er WinNT/Ispro-familien av kjernemodus-rootkits oppe på topp fem-listen hver måned. Også dette er gjerne buntet med spionvare som lar en angriper modifisere visse filer og registernøkler for å hindre at brukeren oppdager at maskinen er blitt infisert.

Garms mener at den høy raten av rootkit-infiseringer bekrefter frykten om at virusforfatterne bruker de mest sofistikerte teknikkene for å skjule ondsinnet programvare. Pussig nok har også Sony BMG benyttet en lignende metode for å skjule filer for rettighetskontrollprogramvare som fulgte med en rekke musikkplater. Denne saken vekket voldsom oppsikt, og Sony BMG er den siste måneden blitt saksøkt fra flere hold.

Det er maskiner ikke-oppdaterte utgaver av Windows XP at de fleste rootkit-ene blir fjernet, men infeksjonsratene skal også være høye på maskiner med begge servicepakkene installert.

Ifølge Garms finnes Ispro-rootkit-et på omtrent 50 prosent av alle Windows XP-maskiner hvor servicepakkene mangler, men andelen er på 20 prosent for de oppdaterte maskinene. Tallene er omtrent de samme for FU.

Garms sier at mange fortsatt lar seg narre til å klikke på ukjente vedlegg og lenker i lynmeldinger, noe som ofte fører til infisering av forskjellige typer ondsinnet programvare.

Av annen type ondsinnet programvare som ofte må fjernes fra Windows XP, er e-postormene Netsky og Lovgate, samt lynmeldingsormen Kelvir. Disse blir fjernet fra opptil 40 prosent av Windows XP SP2-maskinene hvor brukeren kjører Malicious Software Removal Tool.

Til toppen