Bei Root Kits handelt es sich um Techniken, mit deren Hilfe Schadprogramme ihre Existenz zu verbergen versuchen, um nicht von Spyware-Blockern oder Antivirenwerkzeugen erkannt zu werden.

Der Sicherheitsexperte Mark Russinovich, bietet auf seiner Website (http://www.sysinternals.com/) mit "Root Kit Revealer 1.55" ein kostenloses Hilfsmittel zum Aufspüren derartiger Schädlinge an.

Laut Russinovich gibt es Persistent Root Kits, speicherbasierende Root Kits (verschwinden beim Neustart) und User-Mode-Root Kits (schalten sich zwischen Anwendungsfunktionen ein, um deren Ausgabe zu modifizieren). Kernel Mode Root Kits schließlich stellen die raffinierteste Ausprägung dar, indem sie die Datenstrukturen des Systemkerns zu manipulieren versuchen. Mit dieser Technik ist es beispielsweise möglich, den Kernel-Prozess eines Schadprogramms aus der Windows-Taskliste herauszufiltern und so jegliche Aktivität zu verbergen.

Das Grundprinzip von Root Kit Revealer ist simpel - er vergleicht das Ergebnis eines System-Scans auf der obersten Ebene mit dem auf der untersten Ebene. Konkret heißt das, dass eine Dateisystemanalyse auf Basis des Windows-API (beispielsweise ein Dateisystem- oder Registry-Scan) mit den Rohdaten einer NTFS- oder FAT-Festplattenpartition verglichen wird. Treten dabei Diskrepanzen auf, ist möglicherweise ein Root Kit aktiv. Nach Einschätzung von Russinovich sei es zwar theoretisch möglich, sein Tool per Root Kit auszutricksen, jedoch erfordere das ein Expertenwissen, das er in den bis heute bekannten Root Kits nicht annähernd habe erkennen können. Als optimale Strategie empfiehlt der Sicherheitsexperte aber den Einsatz von Scannern, die das System zum einen im laufenden, zum anderen im heruntergefahrenen Zustand von außen (mit Boot-CD) prüfen und dabei zusätzlich noch von Antiviren-Tools unterstützt werden. (Wolfgang Miedl)

CW-Fazit: Root Kit Revealer 1.55 erkennt Schädlinge, die den Antiviren-Tools durch die Lappen gehen.