Schädliche Programme der ganz fiesen Art – das sind Rootkits. Für den Anwender unsichtbar, können sie den kompletten Rechner ausspionieren. Wir verraten, wie Sie sich wirksam schützen.
von Arne Arnold, PC-Welt
Testbericht
Rootkits sind hinterhältig. Denn Sie manipulieren Ihr System so, dass Sie den schädlichen Code der Kits nicht sehen und damit auch nicht beseitigen können. Wir erklären in diesem Beitrag, wie Rootkits genau funktionieren, wer sie verbreitet und vor allem wie Sie sich vor den gefährlichen Biestern schützen. Dafür haben wir 12 Sicherheits-Tools getestet.
So funktionieren Rootkits
In der Windows-Welt bezeichnet der Begriff Rootkit ein Programm, das Dateien auf einem Rechner so versteckt, dass der Anwender diese nicht mehr entdecken kann. Bei den Dateien handelt es sich meist um schädlichen Code – etwa Spyware, Trojaner oder einen heimlich installierten Kopierschutz. Das Rootkit manipuliert die Kommunikation zwischen Anwendungen und dem Betriebssystem. Es filtert dabei Informationen, die eine Anwendung vom System angefordert hat.
Zwei Arten: Rootkits lassen sich in zwei Gruppen einteilen – je nachdem, wie sie vorgehen. Die erste Gruppe bilden Rootkits, die sich tief in das System eingraben. Sie installieren sich zwischen zwei Schichten der Systemfunktionen und filtern dann Informationen. Da sich diese Rootkits dabei im Kern des Betriebssystems (englisch: Kernel) verankern, werden sie auch als Kernel-Rootkits bezeichnet.
Ein Beispiel: Das Rootkit kopiert die Dateien Schädling.EXE und Spionage.DLL sowie Teile von sich selbst in ein Verzeichnis. Dann manipuliert es den Kernel so, dass diese Dateien nicht mehr angezeigt werden – weder mit dem Windows-Explorer noch mit irgendeinem anderen Dateimanager. Sie sind unsichtbar und können aus der Tarnung heraus beliebigen Schaden anrichten.
Die zweite Gruppe agiert auf der Ebene der Anwendungen. Diese Rootkits manipulieren laufende Prozesse im Speicher und enthalten auf diese Weise den Anwendungen einen Teil der angeforderten Informationen vor. Ein Beispiel sind FU-Rootkits, die dafür sorgen, dass der laufende Prozess eines Schädlings versteckt wird – unter anderem ist er auch in der Prozessliste des Taskmanagers nicht mehr zu sehen.
So schleichen sich Rootkits ein
Die Technik der Rootkits beschränkt sich darauf, Schad-Software zu verstecken. Sie bietet keinen speziellen Code, um sich selbst zu verbreiten. Tatsächlich streuen die Gauner Schädlinge mit Rootkit-Technik wie gewöhnliche Trojaner – also über Sicherheitslücken in Windows und Anwenderprogrammen. Beliebt ist nach wie vor auch der alte Trick mit dem Mailanhang, der eine Rechnung, Mahnung oder Ähnliches sein soll, in Wirklichkeit aber der Schädling ist.
Einige Rootkits gibt es als Source Code frei im Internet, andere wurden verkauft. Vor allem die Verbreiter von Spyware haben sich darauf gestürzt. Ihnen kommt die Rootkit-Technik gerade recht, weil ihre Spionageprogramme auf diese Weise unentdeckt auf den PCs der Anwender arbeiten. Schließlich lässt sich mit dem Sammeln von Daten ein Haufen Geld verdienen.
Per Rootkit-Technik werden auch viele Trojaner verbreitet. Sie machen einen Rechner fernsteuerbar, so dass der Programmierer des Schadcodes ihn etwa als Spam-Versender missbrauchen kann. Und das ist wiederum ein sehr lukratives Geschäft.
Für technisch interessierte Anwender
Rootkits können sich an vielen Stellen in Windows einklinken. Für technisch Interessierte stellen wir hier eine Methode vor.
Subsystem: Die Sicherheitsarchitektur von Windows NT 4, 2000 und XP sieht vor, dass der Kern des Betriebssystems geschützt wird. Er selbst und einige Treiber laufen im Kernel-Modus und haben Zugriff auf alle Funktionen des Systems ebenso wie auf die Hardware. Anwendungen dagegen arbeiten im User-Modus, der nur minimale Zugriffsrechte besitzt.
Trotzdem brauchen Anwendungen Informationen über das System. Beispielsweise muss ein Dateimanager natürlich wissen, welche Dateien auf der Festplatte gespeichert sind. Darum arbeitet Windows mit einem Subsystem, über das eine Anwendung Infos vom Systemkern anfordern kann – die API (Application Programming Interface). Dieses Subsystem bietet Dynamic Link Libraries (DLLs), etwa die Kernel32.DLL, User32.DLL, Gdi32. DLL und Advapi32. DLL.
Die IAT-Manipulation: Startet man ein Programm, wird es in den Arbeitsspeicher geladen. Der Loader des Subsystems wertet dabei auch die Import Address Table (IAT) der Programmdatei aus. Darin stehen unter anderem die benötigten DLLs und ihre Funktionen. Ein Beispiel ist „FindFirstFile“ aus der Kernel32.DLL, die letztlich auch die Funktion „FindNextFile“ zurückgibt. Zusammen mit dem Aufruf der Funktion „NtQueryDirectoryFile“ aus dem EAX-Register lassen sich so alle Dateien eines Verzeichnisses lesen.
Ein Rootkit kann sich nun zwischen eine Anwendung und das System schieben, in dem es Funktionen in der IAT der Anwendung auf sich selbst umleitet und damit zwischen der Anwendung und der Kernel32.DLL steht.
Mehr Infos und weitere Angriffspunkte für Rootkits, etwa Filtertreiber, Inline Function Hooking und System Service Description, finden Sie hier.
Abwehr & Tests
So schützen Sie sich
Eine gute Nachricht gibt’s bei den Schutzmaßnahmen. Denn alle bekannten Kernel-Rootkits können sich nur ins System einklinken, wenn sich der Anwender mit Admin-Rechten angemeldet hat. Arbeiten Sie aber mit Benutzerrechten, dann haben die Rootkits keine Chance. Ein entsprechendes Konto erstellen Sie unter Windows XP und Vista über „Systemsteuerung, Benutzerkonten“. Achtung: Sie müssen immer auch ein Konto mit Administratorrechten behalten, damit Sie etwa noch neue Programme unter Windows installieren können.
Als zweite Schutzmaßnahme setzen Sie eine gute Sicherheits-Software ein. Unser Test hat gezeigt, dass leistungsfähige Antiviren-Tools Rootkit-Schädlinge schon vor der Installation stoppen können.
Test: Die besten Rootkit-Finder
Wir wollten wissen, welche Tools Sie am besten gegen Rootkits schützen. Darum haben wir 12 Programme nach Rootkits suchen lassen. Die Tools stammen zum einen aus der Gruppe der klassischen Antiviren-Programme, zum andern sind es spezielle Antirootkit-Finder. Im Test sind auch zwei Sicherheits-Utilities von Microsoft, der Windows Defender und das Windows Tool zum Entfernen bösartiger Software, die ein Zwischending zwischen klassischem Antiviren-Programm und Spezial-Tool sind.
Das Ergebnis: Antiviren-Programme, die sich in der Vergangenheit einen guten Ruf bei der Suche nach Viren erworben haben, schneiden mittlerweile auch bei der Jagd auf Rootkits gut ab. So teilen sich gleich zwei klassische Antiviren-Tools den ersten Platz: Norton Antivirus und Kaspersky Anti-Virus zeigen eine beinahe identisch gute Leistung und erringen beide 29 von 31 Punkten. Mit deutlichem Abstand, aber mit noch guten Ergebnissen kommt das kostenlose Antivir PE Classic auf den dritten Rang, gefolgt vom Antiviren-Kit.
Auf Platz 5 landet das erste speziell auf Rootkits optimierte Programm: Blacklight bietet keinen klassischen Dateiscanner oder Wächter, denn es ist nur für die Suche nach bereits aktiven Rootkits ausgelegt. Entsprechend kann es keine Installationsdateien finden und deshalb diese Punkte nicht für sich verbuchen. Die weiteren Tests absolvierte das Tool dagegen mit Bravour und erlaubte sich keinen einzigen Fehler. Fast ebenso gut schneidet das Spezial-Tool Rootkit Unhooker ab.
Die übrigen Testkandidaten empfehlen sich nicht für den Einsatz gegen Rootkits beziehungsweise sollten sie nur in Betracht kommen, wenn die anderen Tools doch mal versagt haben.
Übrigens: Das Microsoft-Tool Windows Defender meldete die Installationsversuche der Rootkits mit der allgemeinen Warnung, dass ein Programm versuche, Änderungen am System vorzunehmen. Wachsamen, fortgeschrittenen Anwendern genügt diese Information, um ihren PC vor Rootkits abzuschotten.
Testergebnisse
Wie wir testen: Die Spezialisten Andreas Marx und Guido Habicht vom Sicherheitslabor AV-Test haben die 12 Programme auf die Suche nach Rootkits geschickt. Die Tools mussten zeigen, ob sie die Installationsdateien finden, aktive Rootkits aufspüren und diese entfernen können. Für jede erfolgreiche Aktion gibt’s einen Punkt. Insgesamt konnte ein Tool 31 Punkte sammeln. Tools, die keinen klassischen Dateiscanner bieten und somit auch keine Installationsdateien finden können, können diese Punkte von Haus aus nicht einheimsen.
So schneiden die 12 getesteten Sicherheits-Tools ab:
|
Antirootkit-Tools |
Anbieter |
Platz |
Note |
Ergebnisse: |
Sprache |
Preis |
Windows |
|
Norton Antivirus 2007 |
Symantec |
1 |
1,5 |
29 |
deutschspr. |
40 Euro |
XP, Vista |
|
Kaspersky Anti-Virus 6.0 |
Kaspersky |
1 |
1,5 |
29 |
deutschspr. |
30 Euro |
98/ME, NT 4, 2000, XP, Vista |
|
Antivir PE Classic 7 |
Avira |
3 |
2 |
21 |
deutschspr. |
gratis |
2000, XP |
|
Antiviren-Kit 2007 |
G-Data |
4 |
2,5 |
20 |
deutschspr. |
30 Euro |
2000, XP, Vista |
|
Blacklight 1.0 Beta |
F-Secure |
5 |
2,5 |
20 |
englischspr. |
gratis |
2000, XP, 2003 Server, Vista 32 Bit |
|
Rootkit Unhooker 3.01 |
- |
6 |
2,5 |
19 |
englischspr. |
gratis |
2000, XP, 2003 Server |
|
Windows Tool zum Entfernen bösartiger Software 0107 |
Microsoft |
7 |
3 |
17 |
deutschspr. |
gratis |
2000, XP, 2003 Server, Vista |
|
AVG 7.5 |
Grisoft |
8 |
3 |
15 |
englischspr. |
gratis |
98/ME, NT4, 2000, XP, Vista |
|
Anti-Rootkit 1.2 |
Sophos |
9 |
3 |
14 |
englischspr. |
gratis |
NT 4, 2000, XP, 2003 Server |
|
Rootkit Revealer 1.7 |
Microsoft |
10 |
5 |
6 |
englischspr. |
gratis |
NT 4, 2000, XP |
|
Windows Defender 1.1 |
Microsoft |
11 |
5 |
0 |
deutschspr. |
gratis |
XP, 2003 Server |
|
Rootkit Hookanalyzer 2.0 |
Resplend. Software Projects |
12 |
5,5 |
4 |
englischspr. |
gratis |
2000, XP, 2003 Server |
So setzen Sie die Schutz-Tools ein
Damit sich erst gar kein Rootkit auf Ihren PC einschleichen kann, arbeiten Sie nur mit Benutzerrechten und setzen ein Antiviren-Programm ein. Empfehlenswert sind die ersten vier Tools aus der Tabelle. Denn jedes Programm spürte bereits die Installationsdateien der Rootkits auf. Die Wächter blocken somit die Schädlinge ab, noch bevor sie das System verändern.
Wichtig ist: Um wirksam vor Rootkits schützen zu können, muss die Antiviren-Software auf einem aktuellen Stand sein. Regelmäßige Updates der Virensignaturen sind also ein Muss.
Der Schutz lässt sich optimieren, indem Sie ab und an zusätzlich das kostenlose Blacklight von F-Secure einsetzen. Es fand im Test auch die Schädlinge, die Prozesse verstecken, und ergänzt somit die anderen Tools optimal. Blacklight läuft immer nur ein paar Wochen und muss dann in einer neuen Version von der Hersteller-Site heruntergeladen werden. Das spielt aber keine Rolle, denn der Download ist weniger als 1 MB groß.
Gratis-Schutz: Wer als Antiviren-Programm das beliebte Antivir PE Classic einsetzt und mit Blacklight ergänzt, macht seinen PC sicher – und zwar kostenlos. Allerdings sollten Sie dann häufiger mit Blacklight prüfen, ob sich nicht doch ein Rootkit eingeschlichen hat. Denn Antivir fand nicht so zuverlässig wie die beiden Testsieger auch bereits versteckte Rootkits.
Gestoppt: Ihr Antiviren-Programm meldet, dass sich gerade ein Rootkit auf Ihrem Rechner installieren will? In diesem Fall hat es die Installation bereits verhindert, und Sie müssen nur noch das Löschen der gefährlichen EXE-Datei bestätigen. Ihrem System ist nichts passiert.
Neu-Installation: Anders sieht es aus, wenn bei einem Scan das Antiviren-Programm meldet, dass auf dem PC bereits ein Rootkit aktiv ist. Zwar waren im Test die guten Tools in der Lage, den Code zu entfernen. Doch es tauchen immer wieder Schädlinge auf, die automatisch neuen Code aus dem Internet nachladen. Ob das Antiviren-Programm auch diesen erkennt, ist nicht garantiert. Somit sollten Sie Ihr System neu aufsetzen, wenn auf Ihrem PC ein aktives Rootkit gefunden wurde.