Rootkit – Was ist das?

McAffee hat es für 2007 orakelt: Joe Telafici zufolge werden Rootkits zum De-facto-Standard bei bösartigen Programmen und sie werden im Lauf der nächsten Jahre stark zunnehmen. Doch kaum jemand weiß was ein Rootkit ist.



Ein „Rootkit“ wird verwendet, um die Präsenz eines schädlichen Objekts vor dem Computer-Nutzer oder Administrator zu verstecken. Und wenn es etwas zu verbergen gibt, dann kann man davon ausgehen, dass alles andere was mit dem Rootkit kam auch nicht ganz sauber ist. Der Vergleich, dass ein Rootkit im grunde genommen ein Trojanisches Pferd (kurz: Trojaner) ist, kann nicht von der Hand gewiesen werden. Einmal installiert hällt ein Rootkit den befallenen Rechner für Zugriffe von „außen“ offen. Angreifer können dadurch unbemerkt auf den Computer zugreifen. Natürlich nur, wenn dieser auch über eine Verbindung zur Außenwelt verfügt, wie z.B. das Internet.

Historisch bedingt kommen Rootkits aus der Unix-Welt. Dort wird der Administrator als „Root“ bezeichnet und darf alles auf dem Computer machen. Nun wurde auch auf Unix-Maschinen fleißig gehackt und Rootkits eingesetzt die bewirken, dass die Root-Administratoren nichts von den Attacken mitbekommen.
Inzwischen beschränken sich die Rootkits nicht mehr auf die Unix-Welt, sondern kommen auch munter auf Windows-Rechnern daher. Aufgrund der Architektur von Windows brauchen Hacker nicht mehr unbedingt einen Zugriff auf das Herz des Betriebssystems, sondern es reichen sogenannte Userland-Rootkits. Userland-Rootkits sind Module, welches sich so in Windows einklinken, dass künftig Programme ihre Ein- und Ausgaben über das Rootkit leiten müssen. Eine wunderbare Taktik wenn es darum geht, Informationen wie Paßwörter, Kontoinformationen sowie andere spezielle, private Infos vom Benutzer zu erschleichen. Einmal installiert, kann ein Rootkit einem Angreifer den kompletten Zugriff auf den Comuter geben – auch Ihrem Computer! Sie wären quasi nicht mehr der Herr im eigenen Hause.

Das wohl bekannteste (berüchtigste) Rootkit kam ausgerechnet von Sony. Die lieferten nämlich kopiergeschützte Musik-CDs mit einem solchen Rootkit zur Überwachung des Kopierschutzes aus. Als das herauskam, schlug dies ziemlich hohe Wellen.

Ein Rootkit – was tun?

Das Fiese an einem Rootkit ist, dass dieses versucht sich vor herkömlichen Scannern zu verstecken, weswegen sie oftmals von Virenscannern nicht erkannt werden.

Dafür gibt es beispielsweise den Rootkit-Revealer von Bryce Cogswell and Mark Russinovich. Der Rootkit-Revealer liegt inzwischen in der Version 1.71 vor (Stand: 28.12.06) und ist mit 231kByte sehr schlank. Der Download besteht aus einem ZIP-Archiv, welches entpackt werden muß. Anschließend ruft man die RootkitRevealer.exe auf und Scant das System. Auf der Downloadseite des RootkitRevealer ist beschrieben worauf zu achten ist. Taucht z.B. ein „Hidden from Windows API“ in der Liste auf ist schonmal erhöhte Aufmerksamkeit angebracht. Ganz interessant sind Einträge a’la „Access is Denied“, denn der Revealer kennt keine Zugriffsbeschränkungen.
Allerdings ist der RootkitRevealer nicht vor Fehlalarmen gefeit. Heise.de gibt dazu folgende Informationen:

„Ist eine Datei nicht gleichzeitig über die API, die Master File Table (NTFS) und das Inhaltsverzeichnis sichtbar, so moniert der Scanner ebenfalls eine Ungereimhtheit. Allerdings kann es durchaus während eines Suchlaufs passieren, dass eine Datei erzeugt und gelöscht wird und daher noch nicht allen Instanzen sichtbar ist.

Leider gibt das Tool nur Hilfestellungen zum Aufspüren von Rootkits. Ein Vorschlag wie man sie entfernt, macht es nicht. Ob das Löschen der als verdächtig gemeldeten Dateien und Registry-Keys ausreicht, hängt vom Rootkit ab. Hier muss der Anwender selbst recherchieren — etwa mit Google — um welches Kit es sich handelt und wie man dagegen vorgeht. Die einzig zuverlässige Methode ein Fernsteuerprogramm zu beseitigen, ist ohnehin, den Rechner komplett platt zu machen und neu aufzusetzen“

Rootkit-Fazit:

Der Aussicht auf das verstärkte Auftreten von Rootkits muß man in jedem Fall eine entsprechende Überwachungspflicht entgegensetzen. Regelmäßiges Prüfen der eigenen Computer sollte zur Routine werden. Besonders dann, wenn man sich in den etwas zwielichtigeren Vierteln des Internets herumtreibt. Das man sich jedoch auch vor renomierten Firmen in acht nehmen muß, beweist die Sony-Geschichte.

Literatur zum Thema Rootkits

Bücher zum Thema Rootkits bei Amazon

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.