Ein Rootkit ist ein Satz von Softwarewerkzeugen, die es Hackern erleichtern sollen, erneut auf ein System zuzugreifen,
nachdem sie sich den ersten Zugang verschafft haben. Darüber hinaus wird die Zusammenstellung
von vertraulichen Informationen aus dem entsprechenden Computer ermöglicht. Dieses Konzept ist nicht neu,
denn auf Unix- und Linux-Plattformen gibt es Rootkits schon seit einiger Zeit. Nun sind allerdings Windows-Benutzer an der Reihe,
sich dieser neuen Bedrohung zu stellen, denn das populäre Betriebssystem stellt das derzeitige Lieblingsopfer der Rootkits dar
− und vor allem das bislang profitabelste. Virenprogrammierer und andere Hacker sind mittlerweile auf finanzielle Vorteile aus und die
zahlreichen ungesicherten bzw. nicht ausreichend geschützten Computer stellen eine nahezu unerschöpfliche Quelle von Relay-Hosts dar,
die von den Hackern vermietet (!) und für Spam-Sendungen oder Denial of Service-Angriffe genutzt werden.
Für einen Hacker ist es mittlerweile einfacher und weitaus lukrativer, in Zehntausende von Privatcomputern einzudringen,
als Angriffe auf Server unter Unix oder Linux durchzuführen, die längst nicht so zahlreich vertreten sind.
Äußerst kleine, diskrete Programme
Für den Zugriff auf Computer unter Windows und insbesondere ihre dauerhafte Kontrolle wurden zunächst Trojanische Pferde verwendet,
einfache “herkömmliche” Programme,
die dem Hacker die Kontrolle der infizierten Computer aus der Ferne ermöglichen,
sobald das Programm von nichts ahnenden Benutzern ausgeführt wurde.
Virenschutzprogramme konnten allerdings Programme dieser Art ohne Probleme erkennen
und die Virenprogrammierer mussten sich etwas anderes einfallen lassen.
Somit traten Windows-Rootkits auf den Plan: Diese Programme sind sehr klein − oft weniger als 10 KB groß
− und können leicht durch einen Virus oder ein Trojanisches Pferd in den Computer gelangen.
Rootkits reproduzieren sich nicht und können sich nicht eigenständig verbreiten; sie sind lediglich Tools, die von Viren,
Würmern oder sogar Spionageprogrammen genutzt werden, um ihnen dabei zu helfen, unentdeckt zu bleiben.
Rootkits verwenden eine besonders effektive Methode, um ihr Ziel zu erreichen: Sie platzieren sich zwischen dem Windows-“Herz” (dem Kernel)
und den übrigen Programmen. Wenn dann ein herkömmliches Programm versucht,
auf den Speicherinhalt zuzugreifen, die ausgeführten Programme aufzulisten oder den Inhalt der Festplatte zu durchsuchen
- beispielsweise um sicherzustellen, dass sich dort keine bösartige Software verbirgt
- kann das Rootkit diese Anforderungen abfangen und nach Belieben darauf reagieren und zurücksenden.
Den Benutzern wird also im Prinzip der Eindruck vermittelt, dass ihr System einwandfrei läuft,
keine bösartigen Codes vorhanden sind und sie weiterhin unbeschwert im Internet surfen können
− weit gefehlt, denn ohne ihr Wissen werden von ihrem Computer täglich tausende von Spam- oder infizierten E-Mails verschickt.
In der letzten Zeit wurden in Computerparasiten, zum Beispiel bestimmte Versionen der Viren MyFip.h und Sober.p sowie Bot-Software (Rbot),
vorgefertigte Windows-Rootkits (beispielsweise das Open Source FU-Rootkit) oder ähnliche Hilfsmittel integriert,
um sie besser im Computer zu verbergen.
Nach Angaben von Microsoft sind die FU- und Ispro-Rootkits mittlerweile die vornehmlichen bösartigen Codes in Computern unter Windows XP.
Was kann Virenschutzsoftware bewirken?
Es sind spezielle Techniken erforderlich, um ein Rootkit zu entdecken, nachdem es im Betriebssystem eines Computers installiert wurde.
Die meisten dieser Vorgehensweisen orientieren sich am Verhalten der Rootkits selbst:
Sie fordern eine Überprüfung des Speichers oder der Festplatte unter Verwendung verschiedener Methoden an,
von denen mindestens eine so nah am System wie möglich ist, und vergleichen dann die Ergebnisse.
Wenn bestimmte Dateien oder Vorgänge beim Vergleich der Ergebnisse auftauchen,
jedoch bei den anderen Überprüfungen nicht angezeigt werden, ist es wahrscheinlich, dass ein Rootkit am Werke ist.
Dieses Verfahren ist allerdings recht komplex und erzielt nicht immer die gewünschten Ergebnisse.
Ein Virenschutzprogramm ist aber weiterhin von großem Nutzen: Wenn auch noch Schwierigkeiten bestehen, ein Rootkit zu erkennen,
nachdem es sich eingenistet hat, entgeht es der Virenschutzsoftware zumindest nicht, wenn ein neues Rootkit,
beispielsweise über einen Virus oder ein Spionageprogramm, in das System eindringen will. Seine Ausführung und Installation wird somit verhindert.
Aus diesem Grund gilt auch im Hinblick auf Rootkits:
Schützen Sie Ihren Computer mit einem aktualisierten Virenschutzprogramm!