Diese hochentwickelten Trojaner sind ware Tool-Sammlungen, die Passwörter protokollieren,
Hackern zugang verschaffen, sämtliche Tasteneingaben mitschreiben oder im Netzwerk nach Informationen lauschen - ohne aufzufallen.
Glaubt man Spezialisten wie F-Secure,steckt in der Technologie noch großes Potenzial,das in
Zukunft verstärkt zum Tarnen von Viren und Würmern eingesetzt wird. Schon jetzt gibt es
Würmer,die das Sony - Rootkit nutzen.
Grund dafür, dass Virenscanner Rootkits nicht aufspüren können:
Im Gegensatz zu herkömmlicher Malware, die auf Benutzer-Ebene arbeitet, heften sich
Rootkits tief in das Windows-API (Application Program Interface) ein. Über das API rufen
Anwendungen - also auch Virenscanner und Firewalls - grundlegende Fuktionen des
Betriebssystems auf, etwa Festplatten- oder Registry-Zugriffe. Das Rootkit fängt nun jeden
Aufruf ab und entscheidet, welche Daten die Sicherheits-Anwendung sehen darf. Sucht
beispielsweise ein Virenkiller nach dem Dateinamen des Rootkits, filtert dieses alle
entsprechenden Einträge aus der Antwort des Betriebssystems herraus. Der Trojaner bleibt
also unsichtbar.
So entdeckt man Rootkits:
Das Gros der bekannten Windows-Rootkits tarnt sich zum Glück (noch) nicht perfekt.
So ist der Trojaner "Slanret" als Systemtreiber konzipiert und wird erst im abgesicherten
Modus sichtbar. Zudem verursacht er oft Abstürze. Andere Hinweise auf Rootkits sind ein
stark schrumpfender Festplattenspeicher, ein unerklärlicher Einbruch der CPU-Leistung und
unbekannte Internet-Verbindungen. Profis benutzen ausserdem Tools wie den
RootkitRevealer, um herrauszufinden, welche API-Adresse umgebogen wurde.
Oder aber sie vergleichen die Dateien auf der Festplatte mit einem zuvor angelegten sauberen Backup.
So entfernt man Rootkits:
Die radikalste Lösung ist die beste - Formatierung und Neu-Installation beseitigen
sämtliche Hacker-Utilities. Anschließend sollte man alle Passwörter neu wählen.
Spezialscanner wie etwa RootkitRevealer (http://www.sysinternals.com),
BlackLight (http://www.f-secure.com), Rootkithookanalyzer (http://www.resplendence.com/hookanalyzer) und IceSword (http://xfocus.net/tools/200509/IceSword_en1.12.rar)
sind kompliziert und helfen nur Profis beim Aufspüren und Löschen von Rootkits.
Einen einfachen Uninstaller wie für das Rootkit im Sony-Audio-Kopierschutz gibt es für die
bereits zahlreichen Varianten der gefährlichen Rootkits leider noch nicht.
WARNUNG: Zum RootkitRevealer, dieser kann das AntiVirusprogramm Kaspersky unbrauchbar machen,
daher bitte ich zur Vorsicht, das Programm ist ausserdem noch Betaversion.
Immerhin eine Schwäche aber haben Rootkits mit herkömmlicher Malware gemein:
Auf gepatchten PC's mit Firewall und Virenscanner gelangen sie erst gar nicht,wenn der User
keine verdächtigen Anhänge öffnet und auf Downloads zweifelhafter Dateien von unbekannten
Autoren verzichtet.