Was sind Rootkits ?

[Paule]

Autor: Marty

Was sind Rootkits?

Diese hochentwickelten Trojaner sind wahre Tool-Sammlungen, die Passwörter protokollieren,
Hackern zugang verschaffen, sämtliche Tasteneingaben mitschreiben oder im Netzwerk
nach Informationen lauschen - ohne aufzufallen.
Laut Spezialisten wie F-Secure und Avira steckt in der Technologie noch großes Potenzial,
das in Zukunft verstärkt zum Tarnen von Viren und Würmern eingesetzt wird. Es gibt bereits
Würmer,die das Sony - Rootkit nutzen.

Grund dafür, dass Virenscanner Rootkits nicht aufspüren können:
Im Gegensatz zu herkömmlicher Malware, die auf Benutzer-Ebene arbeitet, heften sich
Rootkits tief in das Windows-API (Application Program Interface) ein. Über das API rufen
Anwendungen - also auch Virenscanner und Firewalls - grundlegende Fuktionen des
Betriebssystems auf, etwa Festplatten- oder Registry-Zugriffe. Das Rootkit fängt nun jeden
Aufruf ab und entscheidet, welche Daten die Sicherheits-Anwendung sehen darf. Sucht
beispielsweise ein Virenkiller nach dem Dateinamen des Rootkits, filtert dieses alle
entsprechenden Einträge aus der Antwort des Betriebssystems herraus. Der Trojaner bleibt also unsichtbar.

So entdeckt man Rootkits:
Das Gros der bekannten Windows-Rootkits tarnt sich zum Glück (noch) nicht perfekt.
So ist der Trojaner "Slanret" als Systemtreiber konzipiert und wird erst im abgesicherten
Modus sichtbar. Zudem verursacht er oft Abstürze. Andere Hinweise auf Rootkits sind ein
stark schrumpfender Festplattenspeicher, ein unerklärlicher Einbruch der CPU-Leistung und
unbekannte Internet-Verbindungen. Profis benutzen ausserdem Tools wie den
RootkitRevealer, um herrauszufinden, welche API-Adresse umgebogen wurde.
Oder aber sie vergleichen die Dateien auf der Festplatte mit einem zuvor angelegten sauberen Backup.

So entfernt man Rootkits:
Die radikalste Lösung ist die beste - Formatierung und Neu-Installation beseitigen
sämtliche Hacker-Utilities. Anschließend sollte man alle Passwörter neu wählen.
Spezialscanner wie etwa
RootkitRevealer,BlackLight,
Rootkithookanalyzer und IceSword
sind kompliziert und helfen nur Profis beim Aufspüren
und Löschen von Rootkits. Einen einfachen Uninstaller wie für das Rootkit im
Sony-Audio-Kopierschutz gibt es für die bereits zahlreichen Varianten der
gefährlichen Rootkits leider noch nicht.

WARNUNG: Zum RootkitRevealer, dieser kann das AntiVirusprogramm von Kaspersky unbrauchbar machen,
da sich das Programm wie ein Rootkit verhält und alle Dateien versteckt,
daher bitte ich zur Vorsicht, das Programm ist ausserdem noch Betaversion.

Immerhin eine Schwäche aber haben Rootkits mit herkömmlichen Malware gemein:
Auf gepatchten PC's mit Firewall und Virenscanner gelangen sie erst gar nicht,wenn
der User keine verdächtigen Anhänge öffnet und auf Downloads zweifelhafter Dateien
von unbekannten Autoren verzichtet.