Meister der Tarnung: Was man über Rootkits wissen sollte

9. Anzeichen für einen Rootkit-Befall
Rootkits sind für Benutzer frustrierend. Ihr Sinn besteht darin, dass man mit traditionellen Antimalware-Programmen nicht feststellen kann, ob sie sich auf dem Computer eingenistet haben. Sogar Fachleute haben damit Schwierigkeiten. Sie betonen jedoch immer wieder, dass ein Rootkit bei nachlassender Rechnerleistung stets als Grund in Betracht gezogen werden muss, genauso wie jeder andere mögliche Auslöser auch. Die wichtigsten Anzeichen für einen Rootkit-Befall sind:

• Wenn der Computer einfriert und weder auf die Tastatur noch auf die Maus reagiert, dann könnte das an einem installierten Kernel-Mode-Rootkit liegen.
• Windows-Einstellungen ändern sich, obwohl man selbst keine Änderungen vorgenommen hat.
• Webseiten oder Netzwerkzugriffe scheinen aufgrund von Netzwerküberlastungen immer wieder kurz zu hängen oder funktionieren nicht richtig.

Wenn das Rootkit allerdings „ordentlich“ programmiert ist, wird man solche Anzeichen kaum bemerken. Rootkits sind per Definition unsichtbar. Sind Internet- und Netzwerkverbindung deutlich verlangsamt, sollten auf jeden Fall die Alarmglocken läuten. Rootkits können einen gesteigerten Datenverkehr nicht verbergen. Das gilt vor allem dann, wenn der Computer als Spam-Relay dient oder im Rahmen einer DDoS-Attacke eingesetzt wird.

10. Wandlungsfähigkeit
Wandlungsfähigkeit lässt sich nicht nur bei Rootkits feststellen. Doch sie ist der Hauptgrund, warum diese Programme so schwer aufzuspüren sind. Kernel-Mode-Software hat die Möglichkeit, Speicherzugriffe auf sich selbst abzufangen und harmlos erscheinende Bytefolgen zurückzuliefern. Signaturbasierte Antimalware-Programme sind vollkommen nutzlos. Auch verhaltensbasierte Sicherheitsprogramme haben keine Chance. Um Rootkits zu entdecken, benötigt man eine Technologie, die das Betriebssystem bis in die Tiefe scannt und die Ergebnisse dann mit einer bekannten, „gesunden“ Version des Betriebssystems vergleicht.

11. Erkennen und Entfernen
Grundsätzlich gilt, dass man immer dafür sorgen sollte, dass die Antiviren-Software auf dem neuesten Stand ist. Damit hat man im Kampf gegen den Malware-Befall schon einiges erreicht. Ob ein Rootkit erkannt wird, und ob man es dann entfernen kann, hängt ganz davon ab, wie ausgeklügelt es ist. Falls es sich um ein User-Mode-Rootkit handelt, zeigen die folgenden Tools gute Ergebnisse:

• F-Secure Blacklight
• RootkitRevealer
• Windows Malicious Software Removal Tool
• ProcessGuard
• Rootkit Hunter (Linux und BSD)

Das Problem bei diesen Tools ist jedoch, dass man keine Garantie dafür hat, dass sie ein Rootkit entdecken und entfernen können. Wenn man eine bootfähige CD, zum Beispiel BartPE mit einem Antiviren-Scanner, verwendet, dann steigt die Wahrscheinlichkeit, dass ein Rootkit entdeckt wird, weil Rootkits ihre Spuren nicht verwischen können, wenn sie gerade nicht aktiv sind. Absolut sicher man jedoch nur, wenn man eine definitiv unbefallene Vergleichsversion hat und dann ein Forensik-Programm wie Encase nutzt, um nach zusätzlichem Code zu suchen.