Statement von Kaspersky in Sachen Rootkit
Der IT-Sicherheitsexperte Mark Russinovich hat vor kurzer Zeit die Behauptung geäußert, in den Antivirus-Produkten von Kaspersky Lab käme Rootkit-Technologie zum Einsatz. Aufgrund des Aufsehens, das diese Behauptung erregt hat, erachtet Kaspersky Lab es für notwendig, sie offiziell zu kommentieren.
Wir stellen unseren Lesern die Pressemitteilung im Originaltext zur Verfügung, so dass sich jeder seine eigene Meinung zu diesem Thema bilden kann.
Kaspersky Lab ist überzeugt, dass sich die Technologie iStreams(tm) in Kaspersky Anti-Virus, auf die sich Russinovich bezieht, nicht von Hackern missbrauchen lässt. Aus diesem Grund ist es falsch, diese Technologie „rootkit“ zu nennen.
Die iStreams(tm)-Technologie wurde zur Erhöhung der Scan-Geschwindigkeit erstmals vor zwei Jahren in Version 5 der Kaspersky Anti-Virus-Produkte implementiert. Diese Produktlinie nutzt NTFS Alternate Data Streams, um die Prüfsummen der Dateien auf einem System aufzunehmen: bleibt die Prüfsumme einer Datei zwischen zwei Scans unverändert, weiß das Kaspersky-Programm, dass die Datei nicht verändert wurde. Ein erneuter Scan ist nicht erforderlich.
NTFS Alternate Data Streams sind nicht mit dem bloßen Auge erkennbar - es bedarf Spezial-Tools, um sie sichtbar zu machen. Die Tatsache, dass die Datenströme nicht automatisch zu erkennen sind, bedeutet jedoch nicht, dass die zugrundeliegende Technologie von Virenschreibern missbräuchlich genutzt werden kann.
Kaspersky Lab ist aus folgenden Gründen überzeugt, dass die eingesetzte Technologie sicher ist:
- 1. Wenn ein Kaspersky Anti-Virus-Produkt aktiviert ist, sind die Datenströme verborgen und keine Prozesse (auch keine Systemprozesse) können auf sie zugreifen.
- 2. Wird das Produkt ausgeschaltet, werden die Datenströme unter Zuhilfenahmen entsprechender Tools sichtbar.
- 3. Wird ein Datenstrom mit (möglicherweise schadhaften) Daten oder Code umgeschrieben (bspw. beim Neustart im abgesicherten Modus), liest Kaspersky Anti-Virus den Datenstrom beim nächsten Hochfahren aus, ohne dabei sein Format zu erkennen. Kaspersky Anti-Virus beginnt daraufhin, die Prüfsummen-Datenbank neu aufzubauen. Das bedeutet, dass potenzieller Schadcode eliminiert wird.
Die Anti-Virus-Programme von Kaspersky Lab nutzen die iStreams(tm)-Technologie, da diese dem Kunden eine signifikante Leistungserhöhung bietet.
Lediglich die Deinstallation des Produkts nimmt geringfügig mehr Zeit in Anspruch, da sämtliche Datenströme entfernt werden müssen. Aus diesem - und alleine diesem - Grund kommt in der nächsten Version von Kaspersky Anti-Virus ein alternativer Mechanismus zum Einsatz, der bei gleicher Leistungsfähigkeit auf die Technologie iStreams verzichten kann.
Eugene Kaspersky führt dieses Thema im Kaspersky-Weblog weiter aus.