Rootkits

Rootkits

Unter Windows heißt der Benutzer mit den höchsten Zugriffsrechten "Administrator". Anders ist dies bei den Betriebssystemen UNIX und solchen, die sich von diesem ableiten, z.B. Linux. Dort heißt der Verwalter "Root", welches aus dem Englischen stammt und übersetzt soviel wie "Wurzel" bedeutet.

Ein "Kit" ist im Prinzip nichts anderes als eine Sammlung von Werkzeugen. Häufig finden Sie beispielsweise "Reparatur-Kits". Daraus erklärt sich bereits der Name "Rootkit". Es handelte sich ursprünglich um eine Sammlung von Werkzeugen, die auf dem Betriebssystem UNIX von einem Angreifer verwendet werden konnten, um als Systemverwalter zu arbeiten, ohne dass dies vom tatsächlichen "Root", also dem wirklichen Systemverwalter, bemerkt werden konnte.

Mittlerweile existieren Rootkits nicht mehr nur für Systeme der UNIX-Familie, sondern für zahlreiche andere Betriebssysteme auch. Ebenso gibt es Rootkits, die speziell auf Windows-Systeme zugeschnitten sind. Auch diese werden Rootkits genannt, obwohl es zwar unter Windows normalerweise keinen Benutzer "Root" gibt, diese Art von Software technisch jedoch analog zu den UNIX-Varianten funktioniert.

Das Rootkit als solches ist nicht wirklich bösartig, kann aber problematische Auswirkungen auf die Systemsicherheit haben, auch wenn es nicht aktiv genutzt wird. Aber selbstverständlich werden Rootkits selten zu (für den Anwender) nutzbringenden Zwecken eingesetzt. Denn mit deren Hilfe ist es möglich, unrechtmäßige Anmeldungen am System, Prozesse und Dateien zu verbergen. Außerdem ermöglichen Rootkits es einem Schadprogramm, unbemerkt auf dem System zu agieren. Beispielsweise konnten sich unter dem Betriebssystem MS-DOS Viren komplett dem Zugriff des Anwenders entziehen, indem sie Rootkittechnologie nutzten.
Und auch neuere Schädlinge können teilweise vorhandene Rootkit-Techniken nutzen, um ihr Vorhandensein zu verbergen.

Schädlinge, die Rootkit-Techniken nutzen, gibt es viele. Selbst moderne Spionagesoftware nutzt diese Technologie. Ein Beispiel war die EliteToolbar. Eine Toolbar ("Werkzeug-Leiste") bindet sich in ein anderes Programm - in diesem Falle den Browser - ein und stellt durch Drucktasten und Eingabefelder neue bzw. erweiterte Funktionen zur Verfügung.
Augenscheinlich handelte es sich bei der EliteToolbar um ein nützliches Werkzeug der Suchmaschine Searchmiracle.com. In Wirklichkeit war die Toolbar jedoch ein reines Spionage- und Manipulationswerkzeug.

Besonders betroffen von der EliteToolbar (oder kurz EliteBar) waren Nutzer des Internet Explorers, bei denen die ActiveX- Unterstützung aktiviert war. Die Toolbar startete nach dem Herunterladen automatisch und veränderte die Startseite des Browsers, legte diverse Einträge in der Systemregistrierung an und erzeugte einen Ordner auf Laufwerk C. Die Software spionierte nicht nur - zu anschließenden Werbezwecken - die Nutzungsgewohnheiten des Anwenders aus, sondern leitete auch jegliche Suchanfragen über Searchmiracle.com. Die Toolbar bot eine Auto-Ausfülloption, mit der Eingabefelder auf Webseiten automatisch ausgefüllt werden konnten. Dazu gehörten auch Felder für Kreditkarteninformationen. Tests haben gezeigt, dass eventuell eingegebene Daten umgehend an verschiedene Adressen weiterverschickt wurden.

Ein etwas aktuellerer Schädling ist der Alureon-Trojaner oder auch Win32.TDSS. Perfiderweise wird dieser Trojaner durch manuelle Installation durch den Anwender auf das System gebracht, unter anderem, wenn dieser eine vermeintliche Sicherheitssoftware installiert.
Dieser Trojaner mit Rootkit-Funktion hat es in sich. Er öffnet auf dem befallenen System nicht nur eine Hintertür und macht den infizierten Computer zu einem Teil eines sogenannten Botnetzes, sondern blockiert ebenfalls die Windows Update Funktion und schaltet verschiedene Antivirenprogramme ab.

Das gekaufte Rootkit

Niemand würde sich wohl freiwillig so etwas wie ein Rootkit kaufen. Unfreiwillig wurden allerdings zahlreiche Kunden Opfer eines Rootkits, die bestimmte CDs der Firma Sony BMG auf absolut legalem Wege erstanden haben. Denn sobald man eine dieser CDs auf dem heimischen PC abspielte, installierte sich auf dem Computer eine DRM-Software.
DRM steht für "Digital Rights Management" und meint eine spezielle Software zur Sicherung gegen unberechtigtes Kopieren der Musikdaten. DRM-Software wird auch auf den großen Musikportalen verwendet, auf denen einzelne Musikstücke gegen Bezahlung heruntergeladen werden können.

Bei Sony BMG ging diese DRM-Software jedoch weiter. Zunächst installierte sich diese Software sehr tief im System und wandte dabei besagte Rootkit-Funktionen an. Trotz der Bekundungen Sonys stellte sich kurze Zeit später heraus, dass die von den Sony-CDs installierte Software nicht nur eine kritische Sicherheitslücke eröffnete, sondern auch Sony-eigene Server kontaktierte, sobald sie auf dem Computer des Anwenders aktiv wurde.
Die entstandene Sicherheitslücke wurde durch einen Schädling ausgenutzt, der kurz nach Bekannntwerden der Sony-Machenschaften entdeckt wurde. Dabei nutzte das Schadprogramm die Funktionen von Sonys DRM-Software, um sich selbst im System zu verstecken.

Wie auch die bei Sony eingesetzte Kopierschutzsoftware nutzen auch andere Anbieter derartige Programme. So bietet die Firma Kinowelt DVDs an, die ebenfalls eine Kopierschutzsoftware einsetzen. Auch diese verhält sich wie ein Rootkit und sorgt auch gleichzeitig für eine mögliche Sicherheitslücke auf Windows-Computern. Einige Anwender berichteten in unterschiedlichen Quellen über weitere Fehlfunktionen, z.B. über eine Deaktivierung eines DVD-Brenners.

Neben dem Kopierschutz auf Film-DVDs und Musik-CDs gibt es noch eine andere Gruppe von Programmen, die Rootkittechniken einsetzen oder dies in der Vergangenheit taten : Antivirenprogramme.
So nutzte beispielsweise Norton Antivirus eine Technologie, mit der ein spezieller Ordner vor anderen Windowsanwendungen versteckt werden sollte. Dieser Ordner diente als versteckter Papierkorb, um den Anwender vor dem Löschen wichtiger Dateien zu bewahren. Allerdings konnten sich auch diverse Schadprogramme in diesem Ordner einnisten und blieben dort im Idealfall unentdeckt.
Das verstecken des Ordners geschah mit Hilfe von Rootkit-Technologie.

Gegenmaßnahmen

Da sehr viele Schadprogramme Rootkit-Technologie nutzen, gelten für Rootkits erst einmal die selben Gegenmaßnahmen wie für Würmer und EMailwürmer auch. Halten Sie Ihr System mit Sicherheitsaktualisierungen auf dem neuesten Stand. Ebenso sollten Sie sich überlegen, ob Sie kopiergeschützte DVDs und CDs wirklich auf Ihrem PC abspielen müssen.

Wenn Sie den Verdacht haben, eine Software mit Rootkitfunktionen auf Ihrem Computer zu haben oder einfach nur eine Überprüfung durchführen möchten, haben Sie die Möglichkeit, dies mit bestimmten Softwareprodukten zu realisieren. Die meisten Antivirenprogramme verfügen mittlerweile über Funktionalitäten, um Rootkits aufzuspüren, dennoch entziehen sich viele Schadprogramme sehr wirksam ihrer Entdeckung.
Viele Hersteller von Antivirenprogrammen haben darum spezielle Werkzeuge entwickelt, um spezielle Familien von Rootkits oder auch nur ganz bestimmte auf einem System zu finden. Hinweise und Informationen finden Sie stets auf den Webseiten der Hersteller.

Sollten Sie jedoch auf Ihrem Computer je ein Rootkit auffinden, hilft als sicherste Maßnahme, dieses auch loszuwerden, nur noch eine Neuinstallation.