Virenabwehr ausgetrickst

1. Virenabwehr ausgetrickst
2. Teil 2: Virenabwehr ausgetrickst

© Archiv

Angreifer bedienen sich immer neuer Tricks und Methoden, um Zugriff auf fremde Systeme zu erlangen und die Kontrolle über diese zu übernehmen. Denn längst sind moderne Virenscanner und Anti-Spyware-Tools gegen Trojaner und Backdoors gewappnet, die ohne Tarnkappen unterwegs sind. Im Gegensatz dazu klinken sich so genannte Rootkits tief im Betriebssystem ein, zum Beispiel als Treiber. Rootkits können Viren, Keylogger, Spionage-Tools und Trojaner vor herkömmlichen Virenscannern verbergen.

Auch einzelne Dateien oder ganze Verzeichnisse sind dann nicht mehr im Explorer sichtbar, ebenfalls verschwinden Einträge in der Registry oder im Task- Manager von Windows. Experten unterscheiden verschiedene Arten von Rootkits, die sich auf unterschiedlichen Wegen in das Windows-System einschleichen und dort ihr bösartigen Aktivitäten starten. An erster Stelle stehen die Kernel-Rootkits, die Teile des Betriebssystemkerns durch eigenen Code ersetzen. In diesem Szenario legt die Malware eine Treiberdatei auf der Festplatte ab und lädt diese in den Adressraum des Kernels. Im Anschluss lädt der Treiber weitere Module nach und sorgt zudem dafür, dass alle bösartigen Aktionen im Verborgenen ablaufen. Daher auch der Name LKM-Rootkits (loadable kernel module).

Keinen Zugriff auf Kernel-Ebene benötigen die so genannten Userland-Rootkits, die daher sehr viel einfacher in das System einzuschleusen sind. Im Grunde reicht es aus, eine Original-DLL-Datei durch eine veränderte Version auf der Festplatte zu ersetzen. Wird diese DLL-Datei von einer Anwendung aufgerufen, lässt sich Schadcode mithilfe verschiedener Befehle direkt in alle aktiven Prozesse injizieren. So werden beispielsweise Funktionen an bestimmten Schnittstellen abgefangen, umgeleitet und mit falschen Ergebnissen zurückgemeldet. Angreifer können mit solchen Rootkits Informationen ganz gezielt filtern oder verändern.

Moderne Rootkits setzen auf Techniken wie DLL-Injection oder Direct Kernel Object Manipulation (DKOM). Das Rootkit FUTo blendet zum Beispiel den eigenen Prozess aus der Liste aktiver Prozesse im Windows-System aus, sodass auch der Windows- Taskmanager oder ähnliche Tools den Prozess nicht anzeigen.

Speicher-Rootkits wiederum sind nur im Arbeitsspeicher aktiv, also nur solange der Rechner eingeschaltet ist. Nach einem Neustart des Systems ist das Rootkit meist verschwunden.

Von harmlos bis gefährlich

Traurige Berühmtheit erreichte Sony BMG mit einem Rootkit, das als XCP-Kopierschutz (Extended Copy Protection) auf verschiedenen Musik-CDs zum Einsatz kam. Ebenfalls als Kopierschutz hat Settec ein Userland-Rootkit entwickelt, das auf DVDs des Anbieters Kinowelt verbreitet wird und sich nach dem Einlegen des Datenträgers unter Windows installiert. Neben dem eigentlichen Zweck, dem Unterbinden von 1:1-Kopien der Audio-CDs beziehungsweise DVDs, beanspruchen die Rootkit unnötig Systemressourcen und destabilisieren den betroffenen Rechner.

© Archiv

Wesentlich aggressiver und gefährlicher setzen die Autoren von Malware die Rootkit- Technologie ein. Beispiele für reine Rootkits sind Hacker Defender und FU. Einige Spy- und Adware-Programme, beispielsweise EliteToolbar, ProAgent und Probot SE verwenden ebenfalls Rootkit-Techniken. Auch Trojaner wie Haxdoor, Berbew/ Padodor und Feutel/Hupigon sowie Würmer wie Myfip.h und die Maslan-Familie können Rootkit-Funktionen nutzen. Möglich ist beispielsweise das Einsammeln und Verschicken von im Browserfenster eingegeben Formulardaten wie E-Mail-Adressen und Kreditkartendaten.

Ein weit verbreitetes und bereits sehr mächtiges Rootkit ist der Hacker Defender, auch bekannt als HacDef oder Backdoor .HackDefender. Das Rootkit modifiziert verschiedene Windows- und native API-Funktionen und kann Dateien und Prozesse vor anderen Anwendungen verbergen. Zusätzlich installiert Hacker Defender ein Schleusenprogramm und einen Port-Redirector. Dadurch ist es nicht möglich, das verborgene Programm per Scan nach offenen Ports zu entdecken. Die relativ hohe Verbreitung wird dadurch gefördert, dass die Programmdatei von Hacker Defender als Baukasten im Internet verfügbar ist. Per ini-Datei wird festgelegt, welche Dateien, Verzeichnisse, Registry-Einträge, Prozesse oder offene Ports versteckt werden sollen.

Auf sicheren Webseiten surfen - Mcafee Siteadvisor

Root-Kits werden auf die gleiche Weise wie Viren und Spyware verbreitet, zum Beispiel über dubiose Quellen im Internet. Nicht vertrauenswürdige Webseiten lassen sich jedoch leicht erkennen.

© Archiv

Als Erweiterung für den Internet Explorer und Firefox arbeitet der McAfee SiteAdvisor. Starten Sie auf den Seiten von Google, Yahoo oder MSN eine Suche, werden neben den Treffern die Sicherheitsbewertungen von SiteAdvisor mit roten, gelben und grünen Symbolen angezeigt. Zu den Sicherheits- Tests von McAfee gehört beispielsweise die Prüfung von Downloads auf Viren, Spyware und Trojaner. In der Regel weisen verdächtige Seiten enge Verbindungen zu anderen verdächtigen Seiten auf. Auch nach diesen Online- Partnerschaften bewertet SiteAdvisor eine Webseite.

Auch beliebt in diesen Kreisen ist das Hinzufügen einer Webseite zu den Browser-Favoriten oder das Austauschen der Startseite. Verbergen sich Scripts im HTML-Code der Seite, können Angreifer dann auch Root-Kits auf Ihr System installieren.

Vertrauen Sie grün bewertete Seiten und verzichten Sie auf den Besuch von rot gekennzeichneten Webseiten. Stellen Sie den Mauszeiger auf das SiteAdvisor-Icon, um weitere Infos zu erhalten. Ein Klick auf den Link "Weitere Informationen" öffnet eine Webseite mit detaillierten Ergebnissen der geprüften Webseite. Für jede aktuell im Browser geöffnete Webseite zeigt SiteAdvisor standardmäßig am unteren Rand die Bewertung als Farbe an.

Download Mcaffee Siteadvisor (klicken)

Auf der sicheren Seite

Da viele Virenscanner nicht ausreichend gegen Rootkits gerüstet sind, ist der zusätzliche Einsatz von Spezialprogrammen unbedingt zu empfehlen. Reine Rootkit-Scanner wie F-Secure Blacklight eignen sich für einen Schnelltest, Reinigungsfunktionen fehlen den Tools. Tiefgehende Systemrecherchen erlauben die Profi-Tools GMER und HELIOS. Kombinieren Sie diese Tools miteinander, haben Rootkits quasi keine Chance mehr.

© Archiv

Grundsätzlich gilt natürlich: Minimieren Sie die Gefahr durch Vorsorge. Laden Sie keine Dateien aus unbekannten Quellen und halten Sie sich von dubiosen Webseiten fern. Nachfolgend stellen wir Ihnen die besten Programme vor.