Hinterhältiges Rootkit TDSS
Das TDSS Rootkit (Net-Worm.Win32.Rorpian, auch Alureon, TDL4) fällt besonders durch seine hinterhältige Art der Verbreitung auf. Es integriert eine Wurmfunktionalität von zwei Varianten.
Die eine, althergebrachte Variante ist die Verbreitung über ein Wechselmedium, bei der der Wurm Links auf sich mit dem Namen myporno.avi.lnk, pornmovs.lnk und setup.lnk setzt.
Die ausgeklügelte Variante wird im Kaspersky Blog von Sergey Golovanov beschrieben. Wird der Wurm auf einem Rechner in einem Netz eingeschleust, sucht er sich freie IP-Adressen. Daraufhin installiert er einen DHCP-Server. Dieser ist nun dafür verantwortlich, dass ein PC, der eingeschaltet wird, eine IP-Adresse bekommt und schiebt dem PC einen verseuchten DNS-Server unter. Der DNS-Server ist unter der Gewalt des Hackers und ermöglicht damit jede Umleitung des Browserverkehrs auf jede beliebige Webseite. Golovanov bezeichnet das Rootkit als eines der gefährlichsten, die momentan im Umlauf sind.
Die Entwickler von Net-Worm.Win32.Rorpian arbeiteten 2010 erfolgreich daran, dass der Wurm auch 64-bit Systeme von Windows befällt.
Artikel von theregister.co.uk, 03.06.2011: Notorious rootkit gets self-propagation powers