Jeder Anwender weiß in der Zwischenzeit, wie er sich zu verhalten hat, wenn seine Antivirus-Software einen Schädlingsbefall oder auch nur eine möglicherweise verdächtige Datei in der E-Mail meldet. Doch gibt es immer wieder Fälle, in denen sich der Rechner einfach nur "seltsam benimmt". Viele Nutzer werden beispielsweise aufmerksam, wenn das System scheinbar grundlos (und nicht vom Anwender initiiert) eine Online-Verbindung aufbaut oder unter anscheinend großer Systemlast immer langsamer wird - obwohl aktuell nicht mit dem Computer gearbeitet wird.
Das ist der Zeitpunkt, an dem nicht nur die IT-Profis anfangen von Gefahren wie Rootkits, Keyloggern oder auch sogenannten Backdoors zu sprechen. Wir wollen in diesem Bericht zeigen, was sich hinter all diesen Begriffen verbirgt, wie groß die Gefahren sind und was Administratoren und Anwender dagegen tun können.
Herzattacke: Rootkits
Der Begriff Rootkit s aus der Welt der Unix-Systeme. Dort trägt der Systemadministrator - der auf den traditionellen Unix-Derivaten mit uneingeschränkten Zugriffsmöglichkeiten auf sämtliche Bereiche des Systems ausgestattet war - den Namen "root". Mit dem Namen Rootkit werden Softwaresammlungen bezeichnet, mit deren Hilfe es möglich ist, unbemerkt ein Betriebssystem zu manipulieren. Dabei arbeiten diese Werkzeuge und eingeschleusten Programme direkt im Kern des Betriebssystems, teilweise ersetzen sie sogar unbemerkt Standardfunktionen und deren Aufrufe durch eigene Routinen: Schon diese sehr vereinfachte Darstellung zeigt, wie schwer es sein kann, einen solchen Eindringling zu entdecken und dann vollständig aus einem System zu entfernen.
- RootkitRevealer
So etwas wie der Klassiker der Bekämpfung von Rootkits: Der RootkitRevealer von Sysinternals. Leider wird diese Software nicht mehr weiterentwickelt und arbeitet nur auf Windows XP- oder Windows Server 2003-Rechner. Auch 64-Bit-Rechner werden nicht unterstützt. - Sophos Anti-Rootkit
Ein freies Programm, das auch mit aktuellen Windows-Versionen zurechtkommt: Das Sophos Anti-Rootkit ist die ideale Lösung für den „Anfänger“ – es arbeitet auf allen Rechnern und liefert gut zu interpretierende Informationen. - Verzeichnisse prüfen
Kann eine gewisse Zeit in Anspruch nehmen: Wer ganz sicher gehen will, wird bei der Überprüfung auch alle Dateien und Verzeichnisse mit einschließen, die auf den Festplatten des zu untersuchenden Rechners zu finden sind. - Nicht alles ist Malware
Wichtige Ratschläge: Nicht alle versteckten Dateien, die sich auf einem Rechner finden lassen, stellen eine potenzielle Bedrohung dar. Es ist also ratsam, den Empfehlungen des Programms zu folgen, wenn es wie in diesem Fall (dem Unistall-Programm von Googles Picasa) von einer Entfernung abrät. - Gesundheitscheck
Es gibt eine ganze Reihe von Programmen, die sich mit dem Entfernen von Rootkits befassen: Einige davon – wie die hier gezeigte Home-Version von SanityCheck – sind allerdings nur für erfahrene Anwender geeignet. - Fehler gefunden
Ein verdächtiges Programm wurde gefunden: Dieser Fund gibt sicherlich keinen Anlass zur Sorge, zeigt er doch nur, dass die Entwickler von Tweetdeck schlampig gearbeitet haben, da sie dem Programm keinerlei Informationen mitgegeben haben, die es gegenüber dem System identifizieren. - TDSSKiller
Für viele System gerüstet: Die russischen Malware-Spezialisten stellen mit dem TDSSKiller ebenfalls eine Software zur Verfügung, die problemlos auf 32- und 64-Bit-Systemen eingesetzt werden kann. - Treiber gefunden
Aber auch bei dieser Software bleibt die letzte Entscheidung, dem Anwender selbst überlassen: Hier hat die Lösung offensichtliche eine Anwendung gefunden, die einen Treiber im Betriebssystemkern verankert – das tun aber auch „normale“ Programme oder gerade Antivirus-Lösungen! - On-Screen-Keyboard
Hilft, wenn die Vermutung besteht, dass ein Hardware-Keylogger auf einem System zum Einsatz kommt: Eine virtuelle Bildschirmtastatur, wie die hier gezeigte standardmäßig auf jedem Windows-System vorhandene Software kann diese Gefahr entschärfen. - No Keyloggers, please!
So soll es sein: Schon der Versuch, einen freien Keylogger herunterzuladen, wird in der Regel mit einer ernstzunehmenden Warnung des Anti-Virus-Programms auf dem System beantwortet. - Zurück auf Grün
Microsoft Security Essentials gibt keine Ruhe: Erst nach der Beseitigung des Keylogger-Programms wechselt der Status wieder auf grün. Dabei zeigt sich auch, an wie vielen Stellen entsprechend „aufgeräumt“ werden muss. - Latente Bedrohung
Diese Warnung erscheint aus gutem Grund: Fast alle Keylogger-Programme – mögen sie auch noch so euphemistisch als „Monitoring-Programme“ bezeichnet werden, stellen aus der Sicht der AV- und Anti-Malware-Programme eine Bedrohung dar. - Free Keylogger
Erschreckend einfach: Mit Hilfe der Software Free Keylogger lässt sich sehr schnell demonstrieren, wie einfach beispielsweise die Eingaben auf einer Webseite mitgeschnitten werden können. - Im Hintergrund
So wird der Keylogger dann unsichtbar: Durch die verschiedenen Einstellungen wird es möglich, die Software unauffällig beim Systemstart mit zu aktivieren – der Anwender bekommt nichts davon mit. - Spybot Search & Destroy
Ein sehr umfassender Schutz: Programme wie Spybot Search & Destroy (hier in der Betaversion des kommenden Releases zu sehen) überwachen viele Bereiche des Systems und können so auch vor verschiedenen Angriffen durch Keylogger-Programme schützen. - Durch die Hintertür
Eine Hintertür, die leider oft vergessen wird: Viele Router und andere Appliances sind durch Passwörter geschützt, die vom Hersteller festgelegt wurden – diese sind bekannt und bilden so eine „Hintertür“. - Comodo Cleaning Essentials
Gründliche Überprüfung: Programme wie Comodo Cleaning Essentials prüfen nicht nur auf der Dateiebene sondern untersuchen auch die Programme, die im Hauptspeicher aktiv sind. - Threatfire
Vielleicht zunächst etwas reißerisch in der Aufmachung: Die Software Threatfire bieten einen wirkungsvollen Schutz gegen viele Bedrohungen, die von der klassischen Antivirus- und Anti-Malware-Software nicht entdeckt werden können. - Prüfen, prüfen, prüfen
Schon einmal positiv: Bereits während des Installationsvorgangs überprüft die Lösung Threatfire, ob das System grundsätzlich gegen Angriffe gesichert ist. - Individuelle Optionen
Viele Einstellmöglichkeiten: Die Software erlaubt es dem Anwender, die Anzeige der Meldungen nach seinen eigenen Vorstellungen einzustellen. So kann wirkungsvoll vermieden werden, dass zu viele Meldungen die Aufmerksamkeit erlahmen lassen. - RootkitRevealer
So etwas wie der Klassiker der Bekämpfung von Rootkits: Der RootkitRevealer von Sysinternals. Leider wird diese Software nicht mehr weiterentwickelt und arbeitet nur auf Windows XP- oder Windows Server 2003-Rechner. Auch 64-Bit-Rechner werden nicht unterstützt. - Sophos Anti-Rootkit
Ein freies Programm, das auch mit aktuellen Windows-Versionen zurechtkommt: Das Sophos Anti-Rootkit ist die ideale Lösung für den „Anfänger“ – es arbeitet auf allen Rechnern und liefert gut zu interpretierende Informationen. - Verzeichnisse prüfen
Kann eine gewisse Zeit in Anspruch nehmen: Wer ganz sicher gehen will, wird bei der Überprüfung auch alle Dateien und Verzeichnisse mit einschließen, die auf den Festplatten des zu untersuchenden Rechners zu finden sind. - Nicht alles ist Malware
Wichtige Ratschläge: Nicht alle versteckten Dateien, die sich auf einem Rechner finden lassen, stellen eine potenzielle Bedrohung dar. Es ist also ratsam, den Empfehlungen des Programms zu folgen, wenn es wie in diesem Fall (dem Unistall-Programm von Googles Picasa) von einer Entfernung abrät. - Gesundheitscheck
Es gibt eine ganze Reihe von Programmen, die sich mit dem Entfernen von Rootkits befassen: Einige davon – wie die hier gezeigte Home-Version von SanityCheck – sind allerdings nur für erfahrene Anwender geeignet. - Fehler gefunden
Ein verdächtiges Programm wurde gefunden: Dieser Fund gibt sicherlich keinen Anlass zur Sorge, zeigt er doch nur, dass die Entwickler von Tweetdeck schlampig gearbeitet haben, da sie dem Programm keinerlei Informationen mitgegeben haben, die es gegenüber dem System identifizieren. - TDSSKiller
Für viele System gerüstet: Die russischen Malware-Spezialisten stellen mit dem TDSSKiller ebenfalls eine Software zur Verfügung, die problemlos auf 32- und 64-Bit-Systemen eingesetzt werden kann. - Treiber gefunden
Aber auch bei dieser Software bleibt die letzte Entscheidung, dem Anwender selbst überlassen: Hier hat die Lösung offensichtliche eine Anwendung gefunden, die einen Treiber im Betriebssystemkern verankert – das tun aber auch „normale“ Programme oder gerade Antivirus-Lösungen! - On-Screen-Keyboard
Hilft, wenn die Vermutung besteht, dass ein Hardware-Keylogger auf einem System zum Einsatz kommt: Eine virtuelle Bildschirmtastatur, wie die hier gezeigte standardmäßig auf jedem Windows-System vorhandene Software kann diese Gefahr entschärfen. - No Keyloggers, please!
So soll es sein: Schon der Versuch, einen freien Keylogger herunterzuladen, wird in der Regel mit einer ernstzunehmenden Warnung des Anti-Virus-Programms auf dem System beantwortet. - Zurück auf Grün
Microsoft Security Essentials gibt keine Ruhe: Erst nach der Beseitigung des Keylogger-Programms wechselt der Status wieder auf grün. Dabei zeigt sich auch, an wie vielen Stellen entsprechend „aufgeräumt“ werden muss. - Latente Bedrohung
Diese Warnung erscheint aus gutem Grund: Fast alle Keylogger-Programme – mögen sie auch noch so euphemistisch als „Monitoring-Programme“ bezeichnet werden, stellen aus der Sicht der AV- und Anti-Malware-Programme eine Bedrohung dar. - Free Keylogger
Erschreckend einfach: Mit Hilfe der Software Free Keylogger lässt sich sehr schnell demonstrieren, wie einfach beispielsweise die Eingaben auf einer Webseite mitgeschnitten werden können. - Im Hintergrund
So wird der Keylogger dann unsichtbar: Durch die verschiedenen Einstellungen wird es möglich, die Software unauffällig beim Systemstart mit zu aktivieren – der Anwender bekommt nichts davon mit. - Spybot Search & Destroy
Ein sehr umfassender Schutz: Programme wie Spybot Search & Destroy (hier in der Betaversion des kommenden Releases zu sehen) überwachen viele Bereiche des Systems und können so auch vor verschiedenen Angriffen durch Keylogger-Programme schützen. - Durch die Hintertür
Eine Hintertür, die leider oft vergessen wird: Viele Router und andere Appliances sind durch Passwörter geschützt, die vom Hersteller festgelegt wurden – diese sind bekannt und bilden so eine „Hintertür“. - Comodo Cleaning Essentials
Gründliche Überprüfung: Programme wie Comodo Cleaning Essentials prüfen nicht nur auf der Dateiebene sondern untersuchen auch die Programme, die im Hauptspeicher aktiv sind. - Threatfire
Vielleicht zunächst etwas reißerisch in der Aufmachung: Die Software Threatfire bieten einen wirkungsvollen Schutz gegen viele Bedrohungen, die von der klassischen Antivirus- und Anti-Malware-Software nicht entdeckt werden können. - Prüfen, prüfen, prüfen
Schon einmal positiv: Bereits während des Installationsvorgangs überprüft die Lösung Threatfire, ob das System grundsätzlich gegen Angriffe gesichert ist. - Individuelle Optionen
Viele Einstellmöglichkeiten: Die Software erlaubt es dem Anwender, die Anzeige der Meldungen nach seinen eigenen Vorstellungen einzustellen. So kann wirkungsvoll vermieden werden, dass zu viele Meldungen die Aufmerksamkeit erlahmen lassen. - RootkitRevealer
So etwas wie der Klassiker der Bekämpfung von Rootkits: Der RootkitRevealer von Sysinternals. Leider wird diese Software nicht mehr weiterentwickelt und arbeitet nur auf Windows XP- oder Windows Server 2003-Rechner. Auch 64-Bit-Rechner werden nicht unterstützt. - Sophos Anti-Rootkit
Ein freies Programm, das auch mit aktuellen Windows-Versionen zurechtkommt: Das Sophos Anti-Rootkit ist die ideale Lösung für den „Anfänger“ – es arbeitet auf allen Rechnern und liefert gut zu interpretierende Informationen. - Verzeichnisse prüfen
Kann eine gewisse Zeit in Anspruch nehmen: Wer ganz sicher gehen will, wird bei der Überprüfung auch alle Dateien und Verzeichnisse mit einschließen, die auf den Festplatten des zu untersuchenden Rechners zu finden sind. - Nicht alles ist Malware
Wichtige Ratschläge: Nicht alle versteckten Dateien, die sich auf einem Rechner finden lassen, stellen eine potenzielle Bedrohung dar. Es ist also ratsam, den Empfehlungen des Programms zu folgen, wenn es wie in diesem Fall (dem Unistall-Programm von Googles Picasa) von einer Entfernung abrät. - Gesundheitscheck
Es gibt eine ganze Reihe von Programmen, die sich mit dem Entfernen von Rootkits befassen: Einige davon – wie die hier gezeigte Home-Version von SanityCheck – sind allerdings nur für erfahrene Anwender geeignet. - Fehler gefunden
Ein verdächtiges Programm wurde gefunden: Dieser Fund gibt sicherlich keinen Anlass zur Sorge, zeigt er doch nur, dass die Entwickler von Tweetdeck schlampig gearbeitet haben, da sie dem Programm keinerlei Informationen mitgegeben haben, die es gegenüber dem System identifizieren. - TDSSKiller
Für viele System gerüstet: Die russischen Malware-Spezialisten stellen mit dem TDSSKiller ebenfalls eine Software zur Verfügung, die problemlos auf 32- und 64-Bit-Systemen eingesetzt werden kann. - Treiber gefunden
Aber auch bei dieser Software bleibt die letzte Entscheidung, dem Anwender selbst überlassen: Hier hat die Lösung offensichtliche eine Anwendung gefunden, die einen Treiber im Betriebssystemkern verankert – das tun aber auch „normale“ Programme oder gerade Antivirus-Lösungen! - On-Screen-Keyboard
Hilft, wenn die Vermutung besteht, dass ein Hardware-Keylogger auf einem System zum Einsatz kommt: Eine virtuelle Bildschirmtastatur, wie die hier gezeigte standardmäßig auf jedem Windows-System vorhandene Software kann diese Gefahr entschärfen. - No Keyloggers, please!
So soll es sein: Schon der Versuch, einen freien Keylogger herunterzuladen, wird in der Regel mit einer ernstzunehmenden Warnung des Anti-Virus-Programms auf dem System beantwortet. - Zurück auf Grün
Microsoft Security Essentials gibt keine Ruhe: Erst nach der Beseitigung des Keylogger-Programms wechselt der Status wieder auf grün. Dabei zeigt sich auch, an wie vielen Stellen entsprechend „aufgeräumt“ werden muss. - Latente Bedrohung
Diese Warnung erscheint aus gutem Grund: Fast alle Keylogger-Programme – mögen sie auch noch so euphemistisch als „Monitoring-Programme“ bezeichnet werden, stellen aus der Sicht der AV- und Anti-Malware-Programme eine Bedrohung dar. - Free Keylogger
Erschreckend einfach: Mit Hilfe der Software Free Keylogger lässt sich sehr schnell demonstrieren, wie einfach beispielsweise die Eingaben auf einer Webseite mitgeschnitten werden können. - Im Hintergrund
So wird der Keylogger dann unsichtbar: Durch die verschiedenen Einstellungen wird es möglich, die Software unauffällig beim Systemstart mit zu aktivieren – der Anwender bekommt nichts davon mit. - Spybot Search & Destroy
Ein sehr umfassender Schutz: Programme wie Spybot Search & Destroy (hier in der Betaversion des kommenden Releases zu sehen) überwachen viele Bereiche des Systems und können so auch vor verschiedenen Angriffen durch Keylogger-Programme schützen. - Durch die Hintertür
Eine Hintertür, die leider oft vergessen wird: Viele Router und andere Appliances sind durch Passwörter geschützt, die vom Hersteller festgelegt wurden – diese sind bekannt und bilden so eine „Hintertür“. - Comodo Cleaning Essentials
Gründliche Überprüfung: Programme wie Comodo Cleaning Essentials prüfen nicht nur auf der Dateiebene sondern untersuchen auch die Programme, die im Hauptspeicher aktiv sind. - Threatfire
Vielleicht zunächst etwas reißerisch in der Aufmachung: Die Software Threatfire bieten einen wirkungsvollen Schutz gegen viele Bedrohungen, die von der klassischen Antivirus- und Anti-Malware-Software nicht entdeckt werden können. - Prüfen, prüfen, prüfen
Schon einmal positiv: Bereits während des Installationsvorgangs überprüft die Lösung Threatfire, ob das System grundsätzlich gegen Angriffe gesichert ist. - Individuelle Optionen
Viele Einstellmöglichkeiten: Die Software erlaubt es dem Anwender, die Anzeige der Meldungen nach seinen eigenen Vorstellungen einzustellen. So kann wirkungsvoll vermieden werden, dass zu viele Meldungen die Aufmerksamkeit erlahmen lassen.
Im Jahr 2005 gelangten die Rootkits in das Bewusstsein einer breiteren Öffentlichkeit, als der japanische Hersteller Sony mittels seiner CDs/DVDs einen sogenannten Kopierschutz auf die Rechner brachte, der mit den Techniken der Rootkits arbeitete und die Systeme unbemerkt von den Nutzern manipulierte. Mark Russinovich von Microsoft hat diesen Fall damals öffentlich gemacht - er ist heute noch einen der profiliertesten Experten, wenn es um Rootkits und deren Beseitigung geht. Wer sich für die technischen Hintergründe im Detail interessiert, kann mehr dazu in einem englischsprachigen Video auf den Seiten von Microsoft erfahren.
Was tut ein Rootkit?
-
Es manipuliert Systemdateien, sodass ein Angreifer unbemerkt in das System eindringen und es weiter kompromittieren kann;
-
Es "versteckt" sowohl Dateien als auch Prozesse vor den normalen Systemwerkzeugen, damit die Schadroutinen ungehindert arbeiten können;
-
Es ersetzt beispielsweise Funktionsaufrufe, die direkt mit dem Systemkern zusammenarbeiten durch eigene Routinen oder manipuliert wichtige Treiberdateien, um so ebenfalls unbemerkt arbeiten zu können.