ComboFix ist kein programm das permanent läuft, damit spürt man zb Rootkits auf und kann die ggf entfernen.
Ein bisschen falsch ausgedrückt, optimal eingerichtete Rootkits lassen sich nur signaturbedingt ausfindig machen. Da ein Rootkit aber keine "Datei" ist deren MD5 oder Snippets man einfach in eine Signatur-Erkennung einbinden kann, werden dementsprechend auch nur ein absolut winziger Teil aller existenten Rootkits erkannt.
Diese sogenannten Rootkit-Scanner scannen ausschließlich nach ein paar bekannten Rootkits.
So zur Anschauung: Du lebst in einer gigantischen Scheune mit einer Billion Heuhaufen.
Alle Heuhaufen sind exakt gleich groß und sehen absolut identisch aus. Aber in einem ist eine Nadel.
Du findest diese nur, wenn du bereits weißt wo sie ist.
Und wenn du das nicht weißt, weißt du auch nicht dass irgendwo eine Nadel drin ist.
Praktisch absolut unsichtbar - das ist die nächste Generation von Schadcode.
"Bekannte Rootkits" sind solche, von denen der Quellcode im Netz auftaucht - oder diverse Kopierschutzmechanismen die desöfteren solche Rootkits anlegen (dank dieser Anwendungsweise ist die Popularität am Einsatz v. Rootkits im Schadcodbereich überhaupt erst zu Stande gekommen).
Jedenfalls lassen sie sich nicht so einfach finden.
Theoretisch könnte absolut jeder Rechner am Netz sofort kompromittiert worden sein - und niemand würde es je merken - sollte sich die Kompromittierung nicht selbst verraten.
Nun zur Frage - wie erkennen manche Sicherheitslösungen (weit unter 1% der -) Rootkits?
Manchmal wird Schadcode zur weiteren Analyse auf einem virtuell eingerichteten Testsystem absichtlich aktiviert - durch diverse aktuelle Verschlüsselungen ist es nicht immer möglich den Schadcode zu dekompilieren und die Schad-Routine direkt einzusehen - so soll diese Routine nachvollzogen werden.
- Diese speziell ausgerüsteten virtuellen Testsysteme scannen vor - und nach der Kompromittierung alle einsehbaren Aktionen vom primären System aus. So kann manchmal der Einsprungspunkt ermittelt werden - aber ganz bestimmt nicht immer.
~ Kombination zwischen Rootkit und der Morph-Strategie
Hierbei verändert sich das Rootkit permanent, theoretisch auch mehrere Male pro Sekunde.
So umgeht das Rootkit praktisch jede "definierte Suche", sprich signaturbasierte Erkennungen.
Im Bereich der Heuristik kann das Rootkit so oder so nicht erfasst werden. Insofern wird hierbei
die relativ unwarscheinliche Chance das Rootkit zu identifizieren komplett gestrichen - es ist
total inkognito.
Wer nun meint man könne das Rootkit anhand der Aktionen des Schadcode "finden", der irrt.
Selbstverständlich agiert der Schadcode außerhalb des Rootkits. Das Rootkit selbst übernimmt
sozusagen die "Manager-Funktion". Sollte der Schadcode entfernt werden, läd es neuen nach,
öffnet weitere Backdoors oder manipuliert kurzerhand jegliche Antivirensoftware (es nimmt sich
den aktiven Schadcode z.B. aus der Signatur-Liste und ersetzt diese Signatur mit einem Dummy).
Und das ist bei Weitem noch nicht alles.
Diese Informationen interessieren den Ottonormalverbraucher nicht.
Er vertraut blind auf sein 49,90€ teures Antivirenprogramm und erwartet, dass es jeglichen Schadcode filtert.
Sollte bekannt werden dass das nicht mehr möglich ist, so würde kaum jemand noch Geld für eine Software
ausgeben, die nun offensichtlich nur die halbe Arbeit erledigen kann.
Und wie heißt es in der Werbung so schön - Halber Schutz ist gar kein Schutz.
Edit: Vllt. wäre es sinnboll meinen Text zusammenzufassen und die Leute, die in diesem Bereich Hilfe suchen darüber aufzuklären.
Was die Anti-Virensoftware Hersteller machen ist grob fahrlässig - Schutz garantieren wo kein Schutz mehr sein kann.
mfg,
Markus
