Zauberschwert

Teil 4: Anti-Rootkit-Tool Icesword

Beim Einsatz gegen unbekannte und getarnte Schädlinge hältman sich am besten an eine Strategie: Die meisten Rootkits arbeiten persistent, sie wollen einen Reboot überleben und müssen deshalb bei jedem Neustart über einen kleinen Dienst neu gestartet werden. Einige Rootkits wie Vanquish arbeiten hier besonders effizient, denn nach dem Systemstart verabschiedet sich der Autoloader aus dem System. Da kein Prozess, auch kein versteckter, aktiv ist, findet Ice- Sword natürlich auch nicht das Vanquish-Rootkit, wohl aber das AFXRootkit2005.

Anti-Rootkit-Tool Icesword

© Archiv

IceSword zeigt die Liste der von einem Prozess geladenen Module an.

Generell gilt, dass IceSword verdächtige, Systemfunktionen verbiegende Prozesse und Module rot hervorhebt. Vanquish und ähnlich arbeitende Rootkits sind auf diese Weise nicht zu entdecken. Hier ist das Vorgehen etwas aufwändiger, denn der Schädling hat sich in einem Systemprozess versteckt (via DLL-Injektion).

Anti-Rootkit-Tool Icesword

© Archiv

Vanquish-Rootkit startet als ein unbekannter Prozess (independent process). IceSword zeigt den Prozess in der Liste an.

Zweckmäßigerweise überprüfen Sie die Modulinformationen der zentralen Systemprozesse wie Winlogon.exe und Wxplorer.exe. So hat sich Vanquish beispielsweise in die Winlogon.exe injiziert. Die dafür verantwortliche Datei Vanquish. dll findet sich gut versteckt im Windows-Verzeichnis. Wenn Sie nicht wissen, nach was Sie suchen sollen, ist das Verfahren sehr zeitaufwändig, unsicher und schwer praktikabel. Da im System häufig mehr als ein Dutzend Prozesse aktiv sind, mitwiederum über dreißig geladenen Modulen, ist das Aufspüren von Rootkits Detektivarbeit. Schneller fündig werden Sie bei der Auflistung der Systemprozesse.

Im Beispiel fällt nicht nur das AFX-Rootkit auf, sondern auch der Vanquish-Autoloader hat sich als independent process verewigt. Auch hier gilt, dass man im Vorteil ist, wenn man die Bedeutung der Dienste kennt und bei einem Verdacht im Internet nachrecherchiert. Weitere Suchmöglichkeiten bietet der System Service Descriptor Table. Hier sind alle Module rot aufgelistet, deren Systemzeiger verbogen sind, das heißt nicht auf ntoskrnl.exe zeigen. Bevor Sie jetzt zum großen Befreiungsschlag ausholen, sollten Sie prüfen, ob die Datei nicht zu einem ordnungsgemäß installierten Programm gehört. IceSword monierte etwa die Datei Vsdatant.sys, die zu Zonealarm gehört. Analoges gilt für die Message Hooks. Durchmustern Sie noch die Logdateien gestarteter und beendeter Threads.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.