Schädliche Programme der ganz fiesen Art – das sind Rootkits. Für den Anwender unsichtbar, können sie den kompletten Rechner ausspionieren. Wir verraten, wie Sie sich wirksam schützen.
von Arne Arnold, PC-Welt
Testbericht
Rootkits sind hinterhältig. Denn Sie manipulieren Ihr System so, dass Sie den schädlichen Code der Kits nicht sehen und damit auch nicht beseitigen können. Wir erklären in diesem Beitrag, wie Rootkits genau funktionieren, wer sie verbreitet und vor allem wie Sie sich vor den gefährlichen Biestern schützen. Dafür haben wir 12 Sicherheits-Tools getestet.
So funktionieren Rootkits
In der Windows-Welt bezeichnet der Begriff Rootkit ein Programm, das Dateien auf einem Rechner so versteckt, dass der Anwender diese nicht mehr entdecken kann. Bei den Dateien handelt es sich meist um schädlichen Code – etwa Spyware, Trojaner oder einen heimlich installierten Kopierschutz. Das Rootkit manipuliert die Kommunikation zwischen Anwendungen und dem Betriebssystem. Es filtert dabei Informationen, die eine Anwendung vom System angefordert hat.
Zwei Arten: Rootkits lassen sich in zwei Gruppen einteilen – je nachdem, wie sie vorgehen. Die erste Gruppe bilden Rootkits, die sich tief in das System eingraben. Sie installieren sich zwischen zwei Schichten der Systemfunktionen und filtern dann Informationen. Da sich diese Rootkits dabei im Kern des Betriebssystems (englisch: Kernel) verankern, werden sie auch als Kernel-Rootkits bezeichnet.
Ein Beispiel: Das Rootkit kopiert die Dateien Schädling.EXE und Spionage.DLL sowie Teile von sich selbst in ein Verzeichnis. Dann manipuliert es den Kernel so, dass diese Dateien nicht mehr angezeigt werden – weder mit dem Windows-Explorer noch mit irgendeinem anderen Dateimanager. Sie sind unsichtbar und können aus der Tarnung heraus beliebigen Schaden anrichten.
Die zweite Gruppe agiert auf der Ebene der Anwendungen. Diese Rootkits manipulieren laufende Prozesse im Speicher und enthalten auf diese Weise den Anwendungen einen Teil der angeforderten Informationen vor. Ein Beispiel sind FU-Rootkits, die dafür sorgen, dass der laufende Prozess eines Schädlings versteckt wird – unter anderem ist er auch in der Prozessliste des Taskmanagers nicht mehr zu sehen.