Meister der Tarnung: Was man über Rootkits wissen sollte

Eigentlich sind Rootkits unentdeckbar. Auch finden Spezialisten immer neue Formen dieser komplexen Malware-Spezies. Umso wichtiger ist es, ihre grobe Funktionsweise zu kennen. Hat sich einmal tatsächlich ein Rootkit auf einem eigenen System eingenistet, kann man dies anhand einiger Faktoren zumindest erahnen und geeignete Gegenmaßnahmen erwägen. Der folgende Artikel gibt einen Überblick, welche Techniken Rootkits – Stand heute – einsetzen und wie man sie kontern kann.

1. Was ist ein Rootkit?
Wenn man das Wort Rootkit in seine zwei Bestandteile zerlegt, Root und Kit, dann kommt man schon ein ganzes Stück weiter: „root“ ist ein Unix-Begriff und entspricht dem Administrator in der Windows-Sprache. Mit dem Wort „Kit“ werden in diesem Zusammenhang Programme bezeichnet, die jemandem die Möglichkeit bieten, durch die Ausführung des im Kit enthaltenen Programms dieselben Rechte wie „root“ beziehungsweise „Administrator“ an einem Computer zu erlangen. All das geschieht, ohne dass der Anwender zustimmen muss oder überhaupt etwas merkt.

2. Wozu werden Rootkits verwendet?
Rootkits haben zwei Hauptfunktionen: Fernkontrolle eines Rechners durch die „Hintertür“ und Abgreifen von Daten. Mit Rootkits hat man – ob man nun dazu berechtigt ist oder nicht – die Möglichkeit, die Administratorrechte für einen Computer zu erhalten. Dazu gehören das Ausführen von Dateien, Einloggen in Benutzerkonten, Überwachen des Benutzerverhaltens und sogar die Manipulation der Konfiguration. Daher sind streng genommen auch Remote-Desktop-Programme, beispielsweise VNC, oder Log Me In, zu den Rootkits zu zählen. Das mag überraschend klingen, da man Rootkits gemeinhin als Schadsoftware betrachtet.

Ein bekanntes Beispiel ist der Versuch von Sony BMG, ein Rootkit zum Schutz vor Urheberrechtsverletzungen einzusetzen. Sony BMG entwickelte ein Rootkit, dass sich beim Abspielen von Musik-CDs ungefragt auf dem Computer einnistete. Die von Sony verwendete Rootkit-Methode funktionierte so gut, dass kein Antiviren- oder Antispyware-Programm etwas merkte.

3. Wie verbreiten sich Rootkits?
Rootkits können sich entgegen landläufiger Meinung nicht selbst verbreiten. In Wirklichkeit sind schädliche Rootkits nur ein Bestandteil einer so genannten „kombinierten Bedrohung“ (Blended Threat). Diese Blended Threats bestehen in der Regel aus drei Codebestandteilen: Dropper, Loader und Rootkit.

Der Dropper ist der Code, der dafür sorgt, dass das Rootkit installiert wird. Um das Dropper-Programm zu aktivieren, ist eine unvorsichtige Aktion des Benutzers erforderlich, zum Beispiel das Anklicken eines bösartigen E-Mail-Links. Sobald der Installationsvorgang gestartet wird, aktiviert der Dropper den Loader und entfernt sich daraufhin selbst. Der Loader nutzt eine bekannte Schwachstelle aus, in der Regel einen Pufferüberlauf, und lädt das Rootkit in den Speicher.

Blended-Threat-Schadsoftware setzt ihren Fuß durch Social Networking, mittels bekannter Schwachstellen, oder einfach durch pure Gewalt in die Tür. Dazu zwei Beispiele von aktuellen und erfolgreichen Angriffen:

• Instant Messaging: Wenn sich ein Blended Threat auch nur auf einem Rechner mit einer IM-Software einnisten kann, übernimmt er die Macht über den IM-Client und verschickt an alle Kontakte Nachrichten mit schädlichen Links. Klickt der Empfänger den Link an, weil dieser vermeintlich von einem Freund stammt, so wird auch sein Computer infiziert.
• Rich Content: Bei der neuesten Vorgehensweise wird Blended-Threat-Malware in Rich-Content-Dateien injiziert, beispielsweise in PDF-Dokumente. Öffnet man eine solche PDF-Datei, wird allein dadurch der Dropper-Code ausgeführt.

4. User-Mode-Rootkits
Es gibt mehrere Arten von Rootkits. Die einfachste davon sind User-Mode-Rootkits. Sie installieren sich auf Computern, wenn der Benutzer mit Root- oder Administratorrechten angemeldet ist. Auf diese Weise haben User-Mode-Rootkits die Möglichkeit, Sicherheitseinstellungen zu manipulieren, alle API-Aufrufe zu filtern und nach Belieben zu ändern, so dass Prozesse, Dateien, Systemtreiber, Netzwerkports und sogar Systemdienste unerkannt bleiben. User-Mode-Rootkits kopieren erforderliche Dateien auf die PC-Festplatte und starten automatisch bei jedem Bootvorgang.

Antimalware-Programme können grundsätzlich nur User-Mode-Rootkits aufzuspüren. Ein Beispiel für ein User-Mode-Rootkit ist Hacker Defender. Das ist zwar schon sehr alt, hat sich aber zu seiner Zeit sehr schnell verbreitet.