In diesem Artikel liefern wir Ihnen alle Informationen über Rootkits – Was sind Rootkits? Wie wird ein Computer mit einem Rootkit infiziert, und vor allem, wie wird man ihn wieder los? Unsere Experten aus der Private-Words – Redaktion klären Sie über das Thema „Rootkits“ auf.
>> Download: TDSSKiller kostenlos herunterladen
Rootkits gibt es nun schon seit rund 20 Jahren. Sie erlauben Angreifern, Daten von infizierten Rechnern zu stehlen, und bleiben dabei für lange Zeit unentdeckt. Oft merkt man sie erst, wenn es schon zu spät ist. Der Begriff wird im weitesten Sinne für eine ganze Gruppe von Schadprogrammen verwendet, die dafür programmiert werden, sich auf infizierten PCs zu verbergen und dem Angreifer Zugriff auf den Computer zu verschaffen. In den nächsten Abschnitten zeigen wir Ihnen, wie Rootkits funktionieren, und was Sie tun können, wenn Ihr Rechner von einem Rootkit infiziert wurde.
Was sind Rootkits?
Der Begriff Rootkit beschreibt Schadprogramme, die Computer infizieren und dem Angreifer erlauben, verschiedene Software darauf zu installieren, die ihm dauerhaften Zugriff auf den System ermöglichen. Das Schadprogramm wird üblicherweise tief im Betriebssystem versteckt und ist so entwickelt worden, dass es die Entdeckung durch Antivirus-Software und andere Security-Lösungen erschwert. Das Rootkit kann auch verschiedene schädliche Werkzeuge enthalten, etwa Keylogger (Programme zum Passwort-Diebstahl), Modifikationen zum Diebstahl von Kreditkartennummern und Online-Banking-Informationen, einen Bot für DDoS-Attacken oder Funktionen, die die installierte Anti-Virus Software abschalten. Rootkits fungieren meist als Backdoors, die dem Angreifer ermöglichen, aus der Ferne auf den infizierten Computer zuzugreifen und bestimmte Komponenten darauf zu installieren. Beispiele für derzeit aktive Windows-Unterstützte Rootkits sind TDSS, ZeroAccess, Necurs und Alureon.
Welche Arten von Rootkits gibt es?
Es gibt zwei grundlegende Arten von Rootkits: User-Mode-Rootkits und Kerne-Mode-Rootkits. User-Mode-Rootkits werden im gleichen Teil des Betriebssystems gestartet, in dem auch alle installierten Programme laufen. Sie führen ihre gefährlichen Aktionen aus, indem sie sich in die Prozesse der gestarteten Programme einschleichen oder den Speicherbereich überschreiben, den eine bestimmte Software nutzt. Diese Rootkit-Variante wird häufiger eingesetzt. Kernel-Mode-Rootkits laufen auf der untersten Ebene des Systems und geben dem Angreifer die weitreichendsten Rechte auf dem Computer. Nach der Installation eines Kernel-Mode-Rootkits hat ein Angreifer die komplette Kontrolle über einen infizierten Rechner und kann darauf tun, was er will. Kernel-Mode-Rootkits sind im Normalfall komplexer als User-Mode-Rootkits und deshalb seltener. Diese Art von Rootkit ist auch schwerer zu entdecken und zu entfernen.
Es gibt zudem einige weniger bekannte Rootkit-Varianten, etwa Bootkits. Diese verändern den Bootsektor, die Programme, die vor dem Laden des Betriebssystems gestartet wird. In den letzten Jahren kam zudem eine neue Klasse mobiler Rootkits auf, die Smartphones attackieren, vor allem betroffen sind Android-Geräte. Diese Rootkits sind meist Teil einer schädlichen App, die von einem Drittanbieter-App-Store heruntergeladen wird (nicht von Google pLay).
Wie gelangen Rootkits auf Computer?
Rootkits werden über verschiedene Wege installiert, die häufigste Installationsart ist die Ausnutzung einer Sicherheitslücke im Betriebssystem oder einem installierten Programm. Angreifer zielen auf bekannte und unbekannte Lücken in den Betriebssystemen und Programmen ab, und nutzen sogenannten „Exploit-Code“, um auf einem Opferrechner höhere Rechte zu erhalten. Dann installieren sie das Rootkit und Komponenten, die entfernten Zugriff auf den Computer ermöglichen. Der Exploit-Code für einen bestimmten Leck kann zum Beispiel auf einer legitimen Webseite liegen, die vom Angreifer infiziert wurde. Eine andere Infektionsmethode funktioniert über USB-Sticks oder andere Wechselmedien. Angreifer lassen dabei USB-Sticks mit versteckten Rootkits an öffentlichen Plätzen liegen, so dass sie von potenziellen Opfern gefunden und mitgenommen werden. Manchmal benötigt die Rootkit-Installation dennoch Lücken im System, aber recht oft installiert sich das Schadprogramm als Teil von anscheinend legitimen Programmen oder Dateien auf dem USB-Stick.
Wie entfernt man Rootkits?
Ein Rootkit auf einem PC zu entdecken ist nicht gerade leicht, da diese Art Schadprogramm genau darauf ausgelegt ist, sich zu verstecken und seiner Arbeit im Hintergrund nachzugehen. Es gibt Programme, die mit verschiedenen Methoden nach bekannten und unbekannten Typen von Rootkits suchen, unter anderem mithilfe von Signaturen und Verhaltensanalysen, die versuchen, Rootkits anhand ihrer Verhaltensmuster zu erkennen. Das Entfernen eines Rootkits ist ein komplexer Prozess und benötigt im Normalfall spezielle Software, wie etwa den TDSSKiller von den Sicherheitsexperten Kaspersky Lab, der das TDSS-Rootkit entdecken und entfernen kann. In manchen Fällen kann es nötig werden, das Betriebssystem neu zu installieren, wenn der Rechner zu stark infiziert ist.
>> Download: TDSSKiller kostenlos herunterladen
Artikelbild: Aka / pixelio.de
Ausarbeitungsquelle: Kaspersky.com
