So schützen Sie sich vor Rootkits

Security-Experten und interessierte Anwender kennen Rootkits, doch die meisten Nutzer wissen nicht, dass es diese Art Schadprogramm überhaupt gibt, die sich und seine Aktivitäten auf einem infizierten PC geschickt verbirgt.

Rootkit

Security-Experten und interessierte Anwender kennen Rootkits, doch die meisten Nutzer wissen nicht, dass es diese Art Schadprogramm überhaupt gibt, die sich und seine Aktivitäten auf einem infizierten PC geschickt verbirgt. Sie sollten aber besser darüber Bescheid wissen, denn die Chancen stehen gut, dass man früher oder später die persönliche Bekanntschaft mit so einem Schädling macht. Denn Cyberkriminelle entwickeln laufend neue Methoden für die versteckten Schädlinge und verkaufen diese Methoden an andere Kriminelle oder wenden sie selbst an.

Rootkit

Die Fähigkeit, sich selbst zu verstecken, erlaubt einem Rootkit, monatelang auf einem Opfer-Computer aktiv zu sein – manchmal sogar jahrelang. Der Hacker, der hinter dem Rootkit steckt, kann den infizierten Computer dadurch für seine Zwecke missbrauchen. Selbst wenn auf dem Computer selbst keine wertvollen Informationen zu finden sind (was ziemlich unwahrscheinlich ist), kann er immer noch dazu genutzt werden, digitales Geld (Bitcoins) zu erzeugen, Spam-Mails zu versenden oder bei einer DDoS-Attacke mitzumachen. Rootkit-Funktionen machen es möglich, solche schädlichen Aktivitäten zu verbergen – nicht nur vor den eingebauten Überwachungs-Modulen des Betriebssystems, sondern auch vor Antivirus-Programmen und Firewall-Sensoren. Deshalb empfehlen wir, Ihr installiertes Antivirus-Programm oder die Security-Suite darauf zu prüfen, ob sie Anti-Rootkit-Funktionen bietet und wie gut diese arbeiten.

Doch warum sind Rootkits unsichtbar? Der Grund dafür ist nicht schwer zu erklären: Die Schadprogramme versuchen, ihren Code tief im Betriebssystem des Computers zu integrieren, und alle Standard-Anfragen – wie das Lesen von Dateien oder das Abrufen der Liste laufender Programme usw. – abzufangen.  Rootkits verarbeiten solche Anfragen und löschen daraus jede Erwähnung von Dateien, Prozessen oder anderen Funktionen, die mit ihren eigenen Aktivitäten in Zusammenhang stehen. Aber auch andere Techniken kommen zum Einsatz: Zum Beispiel können Rootkits ihren eigenen Code in legitime Prozesse einschleusen und den Speicher dieser Prozesse nutzen, ihre eigenen schädlichen Aufgaben zu verrichten. Dadurch bleibt das Rootkit für weniger fortschrittliche Antivirus-Lösungen unsichtbar, da diese meist nur auf den oberen Ebenen des Betriebssystems arbeiten und nicht tiefer in den OS-Kernel und die Low-Level-Hardware-Strukturen einsteigen. Falls ein Antiviren-Programm ein Rootkit entdeckt, kann dieses versuchen, den Schutz auszuschalten und sogar einige kritische Antivirus-Komponenten löschen. Ein recht ausgekochtes Rootkit-Exemplar nutzte sogar einen „lebenden Köder“, indem es eine spezielle Datei abspeicherte, die von der Antivirus-Lösung entdeckt werden sollte. Hat das Schutzprogramm auf die Datei zugegriffen, versuchte das Rootkit, das Antivirus-Programm auszuschalten und weitere Starts davon zu blockieren.

Doch wie können Sie sich vor diesen fiesen Schädlingen schützen? Zunächst einmal sollte Ihre Antivirus-Lösung kritische Systemdateien tief im Betriebssystem überwachen, um verdächtige Aktivitäten erkennen zu können, etwa Schadprogramme, die versuchen, die Struktur der Festplatte zu verändern. Dabei ist es sogar möglich, neue, bisher unbekannte Rootkits zu finden, indem die Computer-Aktivität auf Ebene des Betriebssystems mit den Ergebnissen des  tief gehenden Low-Level-Scans verglichen wird. Zum zweiten ist es wichtig, dass das Schutzprogramm einen effektiven Selbstschutz enthält, so dass Schadprogramme die Sicherheitslösung nicht deaktivieren können. Und zu guter Letzt sollte die Antivirus-Lösung in der Lage sein, Rootkit-Komponenten zu 100 Prozent entfernen zu können, selbst solche, die in kritische Dateien des Betriebssystems eingeschleust wurden. Denn es ist nicht möglich, diese Dateien einfach nur zu löschen – dadurch würde das Betriebsystem unbrauchbar werden. Das Antiviren-Programm muss diese Dateien reparieren können, ohne die Funktion des Betriebssystems zu beeinträchtigen.

Stellen Sie also sicher, dass Ihre installierte Sicherheitslösung diese Punkte beherrscht, dann können Sie sagen „Ich weiß, was ein Rootkit ist, und ich bin sicher, dass meine Antivirus-Lösung meinen Computer effektiv davor schützt.“

Tipps