Internet: Sicherheit: Malware: Rootkit

Aus Wikibooks
Am Anfang:   Vorwort · Warum gibt es Malware? · Welche Profite sind erzielbar? · Wird das Internet jemals sicher werden?
Die Gefahren:   Viren · Trojaner · Rootkits · Spyware · Phishing · Ransomware · Drive-by-Downloads · Spam · Toolbars · Keylogger · unsichere Seiten · Tauschbörsen · Chat · Hoaxes
Schutzmaßnahmen:    Updates · Antivirus · Passwörter · Administratorrechte · Browser · E-Mail · Firewall · WLAN · Ports schließen
Vorsichtiges Verhalten:    Zurückhaltung · Kreditkarten · Online-Banking · Shopping
Es ist passiert!    Beispielhafte Vorfälle · Symptome für den Befall · Online-Virenscanner · PC desinfizieren
Anhang:   Kinderschutz · Allgemeine Literatur zum Thema · Literatur zu den einzelnen Kapiteln · Links zum Thema · Zeitschriftenartikel

Rootkits sind Programme, die von Schädlingen als Tarnkappe benutzt werden. Insofern sind Rootkits eine Weiterentwicklung der Tarnkappenviren. Der Name kommt vom Benutzernamen "Root", mit dem in Linux-Systemen der Benutzer mit den höchsten Rechten bezeichnet wird. In Windows-Systemen ist der "Administrator" der Benutzer mit uneingeschränkten Rechten. Natürlich ist es für Schädlinge attraktiv, uneingeschränkten Zugriff auf das System zu haben. Allerdings werden die Aktivitäten des Administrators automatisch überwacht und protokolliert. Will ein Schädling diese Rechte länger behalten, muss er seine Spuren verschleiern. Genau das ist die Aufgabe eines Rootkits: Alle Spuren zu verwischen.

Rootkits "an sich" richten keinen Schaden an. Ein Beispiel für die Funktionsweise: Alle Windows-Anwendungen benutzen das gleiche eingebaute Unterprogramm, um die Dateien eines Verzeichnisses aufzulisten. Ein Rootkit könnte dieses Unterprogramm derart verändern, dass bestimmte Dateien (die des Schädlings) nicht mehr angezeigt werden. Sie werden damit unsichtbar - nicht nur für den Anwender, sondern auch für das Betriebssystem. Auch das Antivirenprogramm scheitert, denn unsichtbare Dateien kann es nicht scannen. Andere Rootkits verstecken Prozesse, so dass der Schädling weder in der Taskliste noch in der Autostart-Liste o.ä. auftaucht.

Ein bekannt gewordenes Beispiel ist ein Kopierschutz von Sony, der sich auf PCs von Käufern von Sony-CDs ungefragt installierte und versteckte. Dieser Kopierschutz war so schlecht programmiert, dass er von Virenprogrammierern verwendet werden konnte, um Viren zu verstecken. Sony musste Musik-CDs mit diesem Kopierschutz zurückrufen.

Trotz aller Bemühungen der Verfasser - kein Rootkit ist perfekt, jedes hinterlässt irgendwelche Spuren, die man mit speziellen Rootkit-Scannern entdecken kann. Von einigen Herstellern werden Anti-Rootkit-Tools angeboten. Deren Handhabung ist allerdings für "gewöhnliche" PC-Anwender oft schwierig. Jedes erkennt nur einige Arten, und ein erkanntes Rootkit lässt sich nicht immer entfernen.

Die Antivirenhersteller haben begonnen, ihre Virenscanner mit handhabbaren Anti-Rootkit-Techniken auszustatten. Es muss damit gerechnet werden, dass in zunehmendem Maße Hybrid-Malware entsteht, z.B. Viren, die den eigenen Rootkit mitbringen, um sich optimal zu verstecken.

Von einigen Rootkits wurde der Quellcode verkauft oder im Internet veröffentlicht. Den Spyware-Programmierern gefällt die Rootkit-Technik, weil sie damit ihre Spionageprogramme unentdeckt auf den PCs der Anwender laufen lassen können. Mit dem Sammeln von Daten lässt sich viel Geld verdienen. Auch Trojaner nutzen Rootkits. Ferngesteuerte PCs können so als Spam-Versender missbraucht werden, was ein sehr lukratives Geschäft ist.

Mehr zur Funktionsweise von Rootkits bei

Wie schützt man sich?

Alle Kernel-Rootkits benötigen Administratorrechte, um sich zu installieren. Wenn Sie als Benutzer ohne Administratorrechte angemeldet sind, haben Rootkits keine Chance.

Ein gutes Antivirenprogramm bietet meist ausreichenden Schutz. Selbst der Windows Defender kann Sie schützen: Er meldet jedes Programm, welches versucht, Änderungen am System vorzunehmen. Es liegt an Ihnen, darauf richtig zu reagieren.