Rootkits - die versteckte Gefahr

Anti-Rootkit-Tools

Weit gefährlicher als Viren oder gewöhnliche Malware sind Rootkits. Das sind Programme, die ihrerseits andere Schadprogramme verstecken. Sie merken also nicht einmal, dass Ihr PC infiziert ist. Wir zeigen Ihnen, wie Sie solche Rootkits beseitigen.

Rootkits - die versteckte Gefahr

© Archiv

Rootkits - die versteckte Gefahr

Schon 2006 stellte das Sicherheitsunternehmen McAfee eine drastisch zunehmende Verbreitung von Mechanismen fest, die Schadprogramme auf PCs verstecken sollen: in drei Jahren um mehr als 600%. Solche Tarn-Tools, Rootkits genannt, sind auf dem Vormarsch und verstecken Trojaner, Würmer und sonstige Spyware auf immer raffinierter werdende Weise.

Das Problem: Von vielen herkömmlichen Security-Tools werden sie nicht erkannt und folglich auch nicht bekämpft. Lesen Sie hier, wie Sie den digitalen Schädlingen trotzdem die Tarnkappe entreißen und die Bedrohung wirkungsvoll beseitigen.

Rootkits von Musik-CDs und Filmen

AVG Anti-Roootkit

© Archiv

Anti-Rootkit-Tools wie das von AVG suchen nach Systemauffälligkeiten, also nach versteckten Treibern und Dateien.

Dass Rootkits nicht nur von bösen Hackern und Internet-Kriminellen verwendet werden, belegt eindrucksvoll die Affäre um das Rootkit des Musikunternehmens Sony BMG. Auf dieses wurde 2005 ein Sicherheitsexperte aufmerksam, als sein Rechner auf einmal merkwürdig reagierte -- kurz zuvor hatte er eine Musik-CD von Sony BMG in die Schublade seines CD-Players gesteckt.

Was dann geschah, liest sich wie ein Krimi: Ohne jegliches Zutun des Anwenders startete ein Installationsprogramm, das den Anwender darüber informierte, die CD sei nur mit der jetzt installierten Player-Software lauffähig.

Im Hintergrund tat sich eine ganze Menge mehr! Das XPC-Rootkit von Sony BMG manipulierte Systemaufrufe, installierte Filtertreiber für die optischen Laufwerke, um Kopieraktionen zu unterbinden, und verbarg in Folge alle Dateien und Verzeichnisse mit bestimmten Namen.

Anschließend kontrollierte es ständig alle Audioprozesse, was zu einer erhöhten Systemlast führte und weitere Sicherheitslöcher aufriss, die andere Programmierer von Malware für ihre Zwecke nutzten. Eine Deinstallationsroutine hatte Sony nicht vorgesehen.

Kernel-Rootkits - Funktionsweise

© Archiv

Während die so genannten Userland Rootkits noch leichter zu entdecken sind, manipulieren die Kernel-Rootkits das System an deren Wurzeln und stellen damit eine besondere Gefahr dar.

Der hier beschriebene Prozess ist typisch für Rootkits: Solche Tools manipulieren und ersetzen Systemdateien, legen geheime Registry-Einträge an oder ändern Arbeitsspeicher und das gesamte Dateisystem so, dass der Anwender weder mit Windows- Bordmitteln wie Windows Explorer und Task-Manager noch mit normalen Virenscannern merkt, dass er infiltriert und ausspioniert wird.

Ist erst einmal ein effizientes Rootkit auf dem Rechner, lässt sich dieser PC komplett übernehmen -- und damit auch für kriminelle Zwecke missbrauchen.

Rootkits sind deshalb mittlerweile eine der größten Gefahren, denen Internet- und Computer- Anwender heute gegenüberstehen, da sie normale Gegenmaßnahmen gegen Malware wie Sypware oder Würmer in vielen Fällen wirkungsvoll verhindern. Nicht umsonst heißt der Klassiker unter den Rootkits "Hacker Defender": Es soll verhindern, dass man die Aktivitäten von Hackern auf seinem System unterbindet.

Auch wenn Rootkits für viele Computernutzer schwer verdauliche Kost sind, lohnt es sich im Hinblick auf ihre Abwehr dennoch, kurz einen Blick auf ihre grundlegenden Mechanismen zu werfen.

Vereinfacht ausgedrückt, verfügen Betriebssysteme wie Windows über zwei Strukturen oder Modi: Alle Basisoperationen wie Speicherzugriff, Laufwerks- und Grafiksteuerung werden im so genannten Kernel abgewickelt, während die Anwenderprogramme über die Zwischenschicht WinAPI auf diese grundlegenden Systemfunktionen zugreifen. So wird sichergestellt, dass Fehler in den Programmen nicht das gesamte System in den Abgrund reißen.

Der größten Bedrohung auf der Spur

Analog zu dieser Struktur unterscheidet man auch bei den Rootkits zwei Arten. Die so genannten Userland Rootkits machen nichts Anderes, als ihren schädlichen Programmcode in andere Anwenderprogramme zu injizieren. Hier sucht man sie in der Regel natürlich nicht und kann sie auch nicht über den Task-Manager, den Datei-Explorer oder andere Programme finden.

Noch cleverer agieren Kernel-Rootkits, die sich zum Beispiel als Gerätetreiber getarnt im Kernel verankern oder verhaken. Wenn ein solches Tool im Kernel residiert, kann das Rootkit in der Folge alle Datei- und Speicherzugriffe von anderen Programmen kontrollieren und damit auch der Verfolgung durch Malware-Scanner entgehen. Ein herausragender Vertreter seiner Art ist das Rootkit Hacker Defender.

Es verbirgt sich durch Manipulation von Gerätetabellen, verankert aber für bestimmte Zusatzfunktionen nebenbei einen Gerätetreiber im Kernel - und zufällig sind auch noch ein Keylogger und eine Backdoor integriert. Die neueste Generation von Rootkits wie das FU Rootkit oder FUTo bringen zusätzlich eine neue Technik ins Spiel: die Direct Kernel Object Manipulation (DKOM), womit man Prozesse und Treiber noch besser tarnen kann.

Solange Virenscanner im Usermode und damit auf der Applikationsebene operieren, können sie zuvor installierten Rootkits nichts anhaben. Wesentlich besser geeignet sind echte Anti-Rootkit-Tools. Sie sind im Gegensatz zu den großen Sicherheits-Suites sehr schlank und oft nur mehrere hundert Kilobyte groß.

Einfach zu bedienen Funktion Ergebnisqualität Vista-kompatibel
Avira Rootkit Detection www.avira.com 1 2 -
AVG Antirootkit www.grisoft.com 1 3 -
McAfee www.mcafee.com 2 2 -
Panda Anti-Rootkit www.pandasecurity.com 1 3 -
Rootkit Uncover www.bitdefender.de 1 2 -
Sophos Anti-Rootkit www.sophos.de 2 2 -
Mit manueller Kontrolle
GMER www.GMER.net 1 5 ja
Helios http://helios.miel-labs.com/ 4 3 -
IceSword http://icesword.en.softonic.com 5 5 ja
Rootkit Unhooker www.rkunhooker.narod.ru 4 5 -
Safety Check http://yyuyao.googlepages.com/home 3 3 -
Seem http://seem.about.free.fr 4 4 -
Sysprot Antirootkit www.castlecops.com 4 4 -

Der entscheidende Unterschied liegt aber in ihrer Vorgehensweise: Programme zum Aufspüren dieser Verstecke wie das AVG Anti-Rookit, Ice-Sword, GMER oder Helios arbeiten nicht mit Signaturen, sondern suchen nach Systemauffälligkeiten, also nach getarnten Prozessen, versteckten Dateien und Registry-Einträgen, Hooks oder manipulierten Einträgen in Systemtabellen.

Noch vor zwei Jahren gab es bestenfalls eine Handvoll auch für den Normalanwender handhabbare Tools gegen Rootkits. Heute ist das Angebot ziemlich unübersichtlich. Viele Anbieter von Security-Suites haben inzwischen Anti-Rootkit-Techniken implementiert oder bieten solche Tools kostenfrei separat an, beispielsweise AVG , BitDefender oder Sophos.

Daneben gibt es mehrere Dutzend Standalone-Tools mit teils beachtlichem Leistungsumfang. Die meisten davon sind ebenfalls kostenlos und stellen eine gute Ergänzung zu den klassischen AV-Scannern dar. Für wenig erfahrene Benutzer, die sich nicht in den Tiefen des Betriebssystems verlieren wollen, empfehlen sich Anti-Rootkits, die nach dem Click&Shot-Prinzip arbeiten. Diese Programme sollen die Versteck-Tools mit einem Mausklick unschädlich machen.

Helios Malware-Detection-System

© Archiv

Helios ist eines der besten Malware-Detection-Systeme. Dieses Anti-Rootkit bietet nicht nur eine gute Erkennungsleistung, sondern auch eine proaktive Schutzfunktion.

Allerdings hat diese Software den Nachteil, dass sie derzeit nicht unter dem neuesten Betriebssystem von Microsoft laufen. Mehr Möglichkeiten, heimtückischen und gut getarnten Schädlingen teilweise auch unter Vista auf die Spur zu kommen, bieten Spezial-Tools wie GMER, Helios oder Ice-Sword.

Grundsätzlich bieten GMER und Co. bessere Möglichkeiten und verfügen über sehr leistungsfähige, auf Kernel-Ebene arbeitende Killerfunktionen. Sie löschen ohne Neustart versteckte Registry- und Dateieinträge, machen Hooks rückgängig und entfernen getarnte Prozesse.

Anders als die schon erwähnten Click&Shot-Tools erfordern sie aber mehr Systemverständnis, um die angezeigten Informationen verstehen und die vielen angebotenen Optionen im Ernstfall auch sinnvoll nutzen zu können.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.