Ratgeber Rootkits, Keylogger, Backdoors

Wie Sie komplexe Angriffe abwehren

03.01.2012
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Maßnahmen gegen Rootkits

Der RootkitRevealer von Sysinternals ist ein Klassiker. Leider wird diese Software nicht mehr weiterentwickelt.
Der RootkitRevealer von Sysinternals ist ein Klassiker. Leider wird diese Software nicht mehr weiterentwickelt.
Foto: Thomas Bär / Frank-Michael Schlede

Zunächst einmal sollten Administratoren oder Anwender feststellen, ob es sich bei dem diagnostizierten Problem wirklich um einen "Befall" durch ein Rootkit handelt. Das ist schon deshalb wichtig, weil sich echte Rootkits in der Regel so tief in ein System einnisten, dass eine hundertprozentige Entfernung nur durch eine komplette Neuinstallation des Systems garantiert werden kann. Oft werden aber auch harmlose Systemaktivitäten oder bekannte Programme wie Skype von Anwendern als Rootkit missdeutet, da bei ihnen Dateien zum Einsatz kommen, die vor der normalen Ansicht versteckt werden. So nutzt auch das Dateisystem NTFS der Windows-Rechner standardmäßig solche versteckten Dateien, die normalerweise auch im Windows Explorer nicht angezeigt werden. Deshalb gilt bei einem vermuteten Rootkit auf einem Rechner:

  • Entsprechende Testprogramme ausführen, die grundsätzlich feststellen, ob sich ein Rootkit auf dem System befindet;

  • Wer Windows XP oder einen Server bis Windows Server 2003 einsetzt, kann auf den RootkitRevealer von Mark Russinovich zurückgreifen. Die Auswertung der Ergebnisse erfordert allerdings Systemkenntnisse;

  • Für modernere Windows-Systeme wie Windows 7 und die 64-Bit-Versionen empfiehlt sich eine der freien Lösungen, wie sie unter anderem von Sophos unter der Bezeichnung Sophos Anti-Rootkit zum Download angeboten werden (diese Lösung ist leider auch nicht mehr ganz neu, soll aber im Februar 2012 in einer überarbeiteten Version zur Verfügung stehen);

  • Auf dem aktuellen Stand ist hingegen die Lösung TDSSKiller vom Hersteller Kaspersky: Sie kann auf 32- und auf 64-Bit-Systemen eingesetzt werden. Das Programm findet und bekämpft auch sogenannte Bootkits, die sich im Bootsektor eines Rechners einnisten und so von normalen Anti-Malware-Lösungen nicht gefunden werden;

  • Auch empfehlenswert: F-Secure Blacklight - ein an sich sehr gutes Programm, das aber leider nur Systeme bis Windows Vista in der 32-Bit-Version unterstützt (XP wird auch in der 64-Bit-Version unterstützt).

  • Achtung: Werden diese Untersuchungen so durchgeführt, dass sie dabei auch sämtliche Festplatten und Dateisysteme durchsuchen, so werden viele versteckte Dateien gefunden, die aber nicht unbedingt Teile eines Rootkits sind, sondern von ganz normalen Anwendungen verwendet werden.

Fazit: Änderungen tief im System sind schwer zu beseitigen

Wer ganz sicher gehen will, wird bei der Überprüfung auch alle lokalen Dateien und Verzeichnisse mit einschließen.
Wer ganz sicher gehen will, wird bei der Überprüfung auch alle lokalen Dateien und Verzeichnisse mit einschließen.
Foto: Thomas Bär / Frank-Michael Schlede

Unsere Erfahrungen zeigen, dass oftmals bereits von einem Rootkit gesprochen wird, wenn in Wirklichkeit doch ganz andere Ursachen (wie etwa falsch installierte Treiber oder schlecht konfigurierte Systemeinstellungen) für ein unvermutetes Systemverhalten verantwortlich sind. Deshalb gilt: zunächst erst einmal Ruhe bewahren und das System genau analysieren. Hat einer der zuvor genannten Hilfsprogramme eine unbekannte oder offensichtlich verborgene Datei entdeckt, sollten Anwender auch hier mit Umsicht an das Entfernen dieser vermeintlichen Malware gehen - oft wird ein System erst durch diese Reparaturversuche nachhaltig beschädigt.

Trotzdem dürfen die Gefahren der Rootkits nicht unterschätzt werden: So hat zwar auch Microsoft etwas gegen diese Art der Angriffe getan, indem bei modernen Windows-Systemen nur noch signierte Treiberdateien erlaubt sind und dieser Schutz gerade auf den 64-Bit-Versionen entsprechend rigoros durchgesetzt wird. Allerdings wurde im Mai 2011 ein erstes Rootkit entdeckt, das genau auf die 64-Bit-Systeme spezialisiert ist - es gelangt durch eine veraltete Java-Version auf die Systeme.

Einige Tools wie die Home-Version von SanityCheck sind nur für erfahrene Anwender geeignet.
Einige Tools wie die Home-Version von SanityCheck sind nur für erfahrene Anwender geeignet.
Foto: Thomas Bär / Frank-Michael Schlede

Erfahrene Anwender können mit spezielleren Tools wie SanityCheck, das für den privaten Gebrauch in einer kostenlosen Version zur Verfügung steht, oder auch GMER (Freeware) tiefer in die System eindringen und nach Ursachen und Verursachern suchen. Wer bei einem nachgewiesenen Fall eines Befalls durch ein Rootkit aber ganz sicher gehen will, sollte sich zur Neuinstallation des Systems entschließen - ein weiterer Grund, immer ein sauberes und aktuelles Systemimage bereitzuhalten.