Das Rootkit, das aus dem Firewall kam

"JEDER PC auf dieser Welt soll sicher sein" (Ashampoo-Werbung)

Die kostenlose Ashampoo FireWall [sic] ist eine ziemlich durchschnittliche Personal Firewall für Windows. Nur unter Einstellungen verbirgt sich eine ungewöhnliche Funktion:


Die Firewall kommt mit einem eigenen Rootkit!

Dazu wird die Datei ASFWHide (ohne Erweiterung) ins Temp-Verzeichnis (!) kopiert und als Treiber geladen. Der Treiber hat keine Beschreibung und keinen Firmennamen. Der Pfad des nicht versteckten Treibers ist allerdings so grotesk auffällig, dass man ihn aus 50 Km Entfernung sieht: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ASFWHide.

Der Treiber installiert zwei SSDT-Hooks:


Der eine versteckt den FireWall.exe-Prozess, der andere verhindert das Beenden mit TerminateProcess.

Der Selbstschutz ist allerdings ziemlich löchrig, er läßt sich auch ohne Administrator-Rechte leicht umgehen. Es funktionieren die gleichen Suspend- und CrashProcess-Tricks wie bei Kindersicherung 2006.


Links

• Ashampoo FireWall (Herstellerseite)