Rootkits, eine weniger bekannte Gefahr
Montag, 23. Januar 2006, 17:36
Hallo Leute.
Wie ich selbst erst vor einigen tagen erfahren habe, ist die Gefahr der Rootkits nur wenigen bekannt, geschweigedenn der Weg, diese wieder loszuwerden.
Wie weit verbreitet? Nun, ihr kennt doch diese Windows-Abfrage nach einem Fehler "Problembericht senden"... über diese Berichte hat eine Mircosoft-Statistik ergebn, dass jeder fünfte Windowsrechner mehrere Rootkits beherbergt.
Wie funktioniert so ein Rootkit?
Rootkits sind dafür bekannt, dass sie sich zwischen in die Kommunikation zwischen Anwendungen und dem Betriebssystem einmischen. Wenn das System über diesen Kommunikationsweg Daten verlangt, kann ein Rootkit diese abfangen und je nach seiner programmierung verändern/manipulieren.
Rootkits können das System so verändern, dass sie sich selbst in den Kern von Windows einschreiben (Kernel) und dort letztendlich verschwinden. So können sie weder vom Windows-Explorer, noch von sonstigen Dateimanagern aufgespürt werden.
In dieser Position können Rootkits Tore für andere Schädlinge öffnen, so z.B. Trojaner. Noch schlimmer ist, sie selbst können diese Tore öffnen, das Tor auflassen und sich selbst wieder löschen. Da stellt man sich eine Frage...
Warum erkennt/erkannte mein Virenscanner das Mistvieh nicht?
Ein Virenscanner untersucht z.B. EXE-Dateien auf dem PC und vergleicht diese mit seiner Signaturdatenbank. Erkennt das Programm eine Identität, wird diese markiert und der Benutzer weiß bescheid.
Anfangs sahen die Antiviren-Softwareentwickler in den Rootkits keine Gefahr, denn: Auch die Rootkits kamen vor knapp einem Jahr noch als EXE auf den PC, wurden also von Antivirenprogrammen abgefangen.
Was passiert aber, wenn diese Rootkit.EXE nicht inder Virendatenbank enthalten ist? Nun, das Teil vergräbt sich im Kernel, installiert einen Trojaner und löscht sich anschließend selbst. Sie können sich einfach zu gut verstecken, aber es gibt immer eine Lösung:
Wie werde ich so ein Rootkit wieder los?
Vornweg ein Problem, das ihr kennen solltet: Da sich ein Rootkit in die Kommunikation zwischen Betriebssystem und der Anwendung einschreibt, würde das einfache Löschen dieses Rootkits (sofern es denn so einfach aufzufinden ist) böse folgen mitsich ziehen.
Stellt es euch vor wie ein Kabel, an einer Stelle ist ein Knoten. Mit schlechten Programmen schneidet ihr einfach den störenden Knoten hereaus, was habt ihr? ein zerschnittenes Kabel, das einem nichts mehr bringt. Genauso ist es mit manchen Anti-Rootkitprogrammen. Sie lassen zwei lose Enden zurück, wodurch im schlimmsten fall das ganze System gestört ist.
Gute Programme flicken diese Schnittstelle und stellen so die verbindung wieder her.
Programm zum Rootkits-aufspüren
Blacklight - sehr zu Empfehlen. Es gehört zu den Programmen, die die Schnittstellen wieder reparieren, kann also ohne Bedenken eingesetzt werden.
Auf PC-Welt sind noch einige andere nützliche Programme verlinkt, ich halte Blacklight aber für sehr gut
Wie bei den meisten anderen Gefahren gilt: Kein Angriff ist perfekt, es liegt an eurem Leichtsinn. Wer keine unbekannten Dateianhänge etc. öffnet sollte außer Gefahr sein :D
MfG MoG
Wie ich selbst erst vor einigen tagen erfahren habe, ist die Gefahr der Rootkits nur wenigen bekannt, geschweigedenn der Weg, diese wieder loszuwerden.
Wie weit verbreitet? Nun, ihr kennt doch diese Windows-Abfrage nach einem Fehler "Problembericht senden"... über diese Berichte hat eine Mircosoft-Statistik ergebn, dass jeder fünfte Windowsrechner mehrere Rootkits beherbergt.
Wie funktioniert so ein Rootkit?
Rootkits sind dafür bekannt, dass sie sich zwischen in die Kommunikation zwischen Anwendungen und dem Betriebssystem einmischen. Wenn das System über diesen Kommunikationsweg Daten verlangt, kann ein Rootkit diese abfangen und je nach seiner programmierung verändern/manipulieren.
Rootkits können das System so verändern, dass sie sich selbst in den Kern von Windows einschreiben (Kernel) und dort letztendlich verschwinden. So können sie weder vom Windows-Explorer, noch von sonstigen Dateimanagern aufgespürt werden.
In dieser Position können Rootkits Tore für andere Schädlinge öffnen, so z.B. Trojaner. Noch schlimmer ist, sie selbst können diese Tore öffnen, das Tor auflassen und sich selbst wieder löschen. Da stellt man sich eine Frage...
Warum erkennt/erkannte mein Virenscanner das Mistvieh nicht?
Ein Virenscanner untersucht z.B. EXE-Dateien auf dem PC und vergleicht diese mit seiner Signaturdatenbank. Erkennt das Programm eine Identität, wird diese markiert und der Benutzer weiß bescheid.
Anfangs sahen die Antiviren-Softwareentwickler in den Rootkits keine Gefahr, denn: Auch die Rootkits kamen vor knapp einem Jahr noch als EXE auf den PC, wurden also von Antivirenprogrammen abgefangen.
Was passiert aber, wenn diese Rootkit.EXE nicht inder Virendatenbank enthalten ist? Nun, das Teil vergräbt sich im Kernel, installiert einen Trojaner und löscht sich anschließend selbst. Sie können sich einfach zu gut verstecken, aber es gibt immer eine Lösung:
Wie werde ich so ein Rootkit wieder los?
Vornweg ein Problem, das ihr kennen solltet: Da sich ein Rootkit in die Kommunikation zwischen Betriebssystem und der Anwendung einschreibt, würde das einfache Löschen dieses Rootkits (sofern es denn so einfach aufzufinden ist) böse folgen mitsich ziehen.
Stellt es euch vor wie ein Kabel, an einer Stelle ist ein Knoten. Mit schlechten Programmen schneidet ihr einfach den störenden Knoten hereaus, was habt ihr? ein zerschnittenes Kabel, das einem nichts mehr bringt. Genauso ist es mit manchen Anti-Rootkitprogrammen. Sie lassen zwei lose Enden zurück, wodurch im schlimmsten fall das ganze System gestört ist.
Gute Programme flicken diese Schnittstelle und stellen so die verbindung wieder her.
Programm zum Rootkits-aufspüren
Blacklight - sehr zu Empfehlen. Es gehört zu den Programmen, die die Schnittstellen wieder reparieren, kann also ohne Bedenken eingesetzt werden.
Auf PC-Welt sind noch einige andere nützliche Programme verlinkt, ich halte Blacklight aber für sehr gut
Wie bei den meisten anderen Gefahren gilt: Kein Angriff ist perfekt, es liegt an eurem Leichtsinn. Wer keine unbekannten Dateianhänge etc. öffnet sollte außer Gefahr sein :D
MfG MoG
Just Testing