Rootkits sind je nach Konzept mehr oder weniger mächtig. Ein Rootkit, das im User-Mode arbeitet, kann praktisch alle API-Aufrufe filtern und nach Gutdünken ändern. So bleiben nicht nur Dateien und Verzeichnisse verborgen, sondern auch Registry-Einträge und Prozesse. Noch gefährlicher sind allerdings Rooitkits, die im Kernel-Mode arbeiten. Sie können die Datenstrukturen des Kernels selbst verändern und haben damit praktisch jede Funktion des Computers im Griff.

Das Aufspüren eines solchen Rootkits ist auf dem befallenen System selbst praktisch unmöglich. Fast alle Rootkits setzen sich in irgendeiner Form in der Registry fest (Persistent), damit sie nach einem Neustart wieder aktiviert werden. Andere Rootkits sind nur im Speicher aktiv und nach einem Neustart verschwunden (Memory-based). Durch den Verzicht auf Einträge in Registry und Dateistruktur sind diese schwerer zu finden, als Persistent-Rootkits.

Mittlerweile hat sich eine sehr lebhafte Szene etabliert, die zu einem guten Teil öffentlich ist und ihre Rootkit-Entwicklungen frei zur Verfügung stellt. Doch das sollte nicht über die wahren Absichten der Entwickler hinwegtäuschen: Fast alle Rootkits werden unter der Hand in modifizierten Abarten gehandelt, die nicht öffentlich gemacht und so auch nicht von den diversen Tools aufgespürt werden können. Dass die Bedrohung sehr real ist, steht mittlerweile fest. Eigentlich ist es eher verwunderlich, dass noch nicht mehr Hersteller von Spy- oder Adware-Programmen Rootkits zum Tarnen und Festsetzen ihrer Software nutzen. Doch der Trend geht eindeutig in diese Richtung, und Vorbeugen ist nach wie vor das beste Mittel im Kampf gegen ein Rootkit.

Solange der Angreifer keine Sicherheitslücke findet und der Administrator mit sicheren Passwörtern und einem abgeschotteten System kontert, findet das Rootkit keinen Weg auf den Computer. Doch leider sind die meisten Rechner nur unzureichend gesichert, und das Rootkit gräbt sich trotzdem im System ein. Der erste Schritt ist dann, das Rootkit überhaupt zu bemerken. Viele Antiviren-Programme melden, wenn fremde Software versucht, Module zu installieren oder sich in der Registry einzutragen. Bei Linux-Systemen und einfachen Rootkits kommt es dann oft zu Fehlermeldungen, besonders wenn man System-Utilities mit vielen Parametern aufruft. Oft haben die Hacker beim Kompilieren Fehler gemacht, so dass das modifizierte Tool nicht exakt zu Linux-Distribution und Libraries passt.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

2 Tagen ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

3 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

4 Tagen ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

4 Tagen ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

4 Tagen ago