
Das im November von uns entdeckte Programm not-a-virus:AdWare.CommonName.g tarnt seine Anwesenheit im Betriebssystem durch einen driver. Dieser driver wird als Filter im Dateisystem installiert. Er fängt so auch das für die Tarnung erforderliche System-Service aus dem KeServiceDescriptorTable ab. Dieses Verhalten ist typisch für Rootkit-Schadprogramme.
Diese Funktion und vielzählige Bitten seitens der Anwender unserer Antivirus-Produkte veranlassten uns schließlich, den Programmtyp von AdWare auf Trojan (not-a-virus:AdWare.CommonNames.g > Trojan.Win32.CommonName.a) zu verändern. So steht dieses unerwünschte, aber nicht schädliche Programm in einer Reihe mit eindeutig gefährlichen Trojanern und Backdoor-Programmen.
Für niemanden ist es ein Geheimnis, dass die Anwender Werbeprogramme nicht mögen und alles unternehmen, sie wieder los zu werden. Aber es ist auch für die AdWare-Entwickler kein Geheimnis, welche weiterhin zwischen den schädlichen und legalen Programmen balancieren, und immer neue Versuche unternehmen, das Leben der AdWare im Anwender-Betriebssystem zu verlängern. Und immer öfter verwenden die AdWare-Entwickler dafür die Technologien der Cyberkriminiellen.
AdWare erschließt Rootkit-Technologien