Sony-Rootkit wieder aufgetaucht

Trend Micro hat in einer Enterprise-Information-Security-Software (EIS) ein Rootkit entdeckt, das auch Sony 2007 im Treiber für den Sony MicroVault USM-F Fingerprint Reader verwendet hatte. Das gab Trend Micro in einem Blogeintrag bekannt.

Trend Micro gab den Namen des Herstellers der EIS-Software nicht bekannt. Er hatte jedoch auch die Treiber-Software für Sony entwickelt. Es handelt sich nicht um das Rootkit, das Sony im Jahre 2005 auf Audio-CDs auslieferte und mit dem es ahnungslosen Anwendern ungefragt einen Abspiel- und Kopierschutz unterschob.

Das jetzt entdeckte Rootkit ist ein Kernelmode-Treiber mit dem Namen SCSHLP11.SYS, der das Verzeichnis C:\Xlog vor dem Anwender versteckt. Ferner sucht es nach den zur EIS-Software gehörenden Dateien winpop.exe, xhound.exe und xtsr.exe. Die Ausführung dieser Dateien verbirgt das Rootkit, indem es die zugehörigen Prozesse für den Task-Manager unsichtbar macht.

Trend Micro weist darauf hin, dass das Rootkit nicht per se schädlich ist. Allerdings können "Trittbrettfahrer" ein solches Rootkit verwenden, um selbst Malware aller Art so zu verstecken, dass Antivirensoftware nicht mehr in der Lage ist, sie aufzuspüren.

EIS-Software dient Unternehmen zur Überwachung von Netzwerkaktivitäten aller Rechner im Intranet. Sie wird unter anderem eingesetzt, um Datendiebstahl zu verhindern. Wenn geschickte Datendiebe das mitgelieferte Rootkit jedoch ausnutzen, wird die Sicherheitssoftware zum Sicherheitsrisiko.