Jutta Berkemer-Ziegler
29.08.2007, 12:01
Rootkits – eine neue wachsende Bedrohung in der EDV
Von Jutta Berkemer*
* Die Autorin betreut u.a. die hauseigene EDV sowie die Internetauftritte des Gemeindetags Baden-Württemberg.
Unter einem Rootkit (1) versteht man in der Microsoft-Welt
ein Programm, das Dateien (zum Beispiel Viren, Kopierschutz,
Spyware (2) oder sonstige unerwünschte Software) aufspielt und
dabei so gut im System versteckt anbringt, dass die Viren- und
sonstigen Schutzprogramme dieses nicht erkennen können.
Das Rootkit selbst richtet dabei keinen Schaden an, sondern dient lediglich als Werkzeug, um unerwünschte Software ins System einzubringen und zu tarnen. Dabei schalten sich die Rootkits in die Kommunikation von Anwenderprogramm und Betriebssystem ein.
Zwei Arten von Rootkit lassen sich unterscheiden:
● Kernel (3) -Rootkits installieren einen Treiber im Betriebssystem und manipulieren durchgeleitete Informationen, die das Betriebssystem abruft. Die Dateien werden installiert und vor allen Arten von Dateimanagern versteckt – so dass sie nicht sichtbar sind, aber Schaden anrichten können.
● Die andere Art von Rootkits greift die Anwenderprogramme an und manipuliert laufende Prozesse im Speicher. Dabei versteckt sich der Prozess aber, so dass er im Task-Manager (4) unter „Prozesse“ nicht sichtbar ist.
Die Übermittlung erfolgt hauptsächlich über Internetseiten oder E-Mails. Zwischenzeitlich existieren bereits Baukästen, die jedem ohne große Programmierkenntnisse ermöglichen, auf diese Art und Weise schädliche Software getarnt in ein EDV-System zu schmuggeln. Es steht deshalb zu befürchten, dass diese Verseuchung weiter um sich greift. Laut Auskunft von Microsoft ist bereits heute jeder fünfte PC mit einem Rootkit verseucht – allerdings dürfte die tatsächliche Anzahl weit höher sein, da nicht alle User den Patch (5) -Service von Microsoft nutzen oder die Übermittlung von Informationen an Microsoft zulassen. Die Viren- und sonstigen Schutzprogramme erkennen Rootkits nicht, da die unerwünschten Programme so im System versteckt werden, dass sie für die Schutzprogramme unsichtbar sind (zum Beispiel im NTFS (6) -Stream). Virenschutzprogramme untersuchen alle Dateien und vergleichen sie mit der Signaturdatenbank. Wird so ein Virus erkannt, kann er eliminiert werden. Durch die wachsende Zahl der Rootkits entsteht aber immer öfter die Situation, dass eine *rootkit (beliebiger Name)*.exe-Datei ins System kommt, das Virenprogramm dieses neue Rootkit aber noch nicht in der Signaturendatenbank hat und somit auch die Installation der unerwünschten Software nicht verhindert. Nach der Installation kann das Virenschutzprogramm den versteckten Schädling nicht erkennen, so dass das System ungeschützt bleibt.
Wie kann man erkennen, dass der PC befallen ist?
Microsoft selbst bietet einen laufend verbesserten Schutz an, deshalb ist es dringend ratsam, die Patches und die angebotene zusätzliche Software zu installieren. Im Internet Explorer findet sich unter „Extras“ die Funktion „Windows Update“. Damit gelangt man auf eine Internetseite, die das System scannt und alle fehlenden Patches und Programmerweiterungen vorschlägt. Hierzu sind entsprechende Rechte des Benutzers notwendig, da eine Installation erfolgt. In der Kategorie „Wichtig“ werden die Programmerweiterungen angezeigt, die das Microsoft-Betriebssystem sicherer machen. Diese sollten installiert werden. Das Modul „Windows-Tool zum Entfernen bösartiger Software“ bietet nach der Installation Schutz gegen Rootkits, muss aber laufend aktuell gehalten werden. Damit ist der erste Schritt getan – Spezial-Programme sind jedoch ratsam. Da derzeit kein Programm einen 100-prozentigen Schutz bietet, empfiehlt sich eine Kombination aus mindestens zwei Programmen.
Wie kann ein Rootkit entfernt werden?
Ein einfaches Löschen eines Rootkits und der damit eingeschleusten Software ist nicht ratsam, da mit großer Wahrscheinlichkeit dabei auch ein Teil der Kommunikation zwischen Betriebssystem und Anwendungssoftware zerstört wird. Die Folge wäre ein instabiles System, das immer wieder abstürzt oder komplett nicht mehr startbar ist. Die Entfernungsprogramme bringen auch geeignete Löschroutinen mit, so dass damit die Rootkits und die eingeschleppte Software ohne größeres Risiko entfernt werden können. Das Internet bietet sich hier als Recherchequelle an, da das Problem sehr verbreitet ist und damit auch andere an der Lösung arbeiten. In keinem Fall dürfen versteckte Dateien einfach gelöscht werden, denn das Betriebssystem selbst versteckt ebenfalls Dateien, ohne die es nicht funktionieren kann.
Welche Schutzmaßnahmen gibt es?
Das Betriebsystem ist aktuell zu halten, man sollte keine fragwürdigen Internetseiten besuchen und nicht auf *.exe-Anhänge von E-Mails klicken – mit diesen simplen Grundregeln, die auch vor anderen Schädlingen schützen, ist man bereits relativ sicher. Es ist damit zu rechnen, dass in den nächsten Monaten die Hersteller der Antiviren-Software eine Lösung im Rahmen des Virenschutzes anbieten, so dass sich das Problem dann entspannen dürfte.
Allgemeine Sicherheitshinweise findet man beim Bundesamt für Sicherheit in der Informationstechnik unter http://www.bsi.bund.de/gshb/index.htm.
**********
Fußnoten
1 Übersetzt ungefähr: Administratorenwerkzeug. Unter Linux kann ein Administrator mit dem Rootkit in ein System eindringen, um es zu reparieren – allerdings sind auch hier unerwünschte Eingriffe durch Dritte eine ernst zu nehmende Gefahr.
2 Diese Spionagesoftware sucht gezielt nach Informationen wie persönlichen Daten des Benutzers und sendet diese Informationen ohne das Wissen oder die Zustimmung des Benutzers an den Hersteller der Software oder an Dritte. Oft wird Spyware verwendet, um Produkte scheinbar kostenlos anzubieten.
3 Der Kern des Betriebssystems wird im Englischen mit Kernel bezeichnet.
4 Der Task-Manager kann mit der Tastenkombination STRG + ALT + ENT aufgerufen werden.
5 Unter einem Patch (aus dem Englischen – übersetzt: Flicken) versteht man ein Software-Update, das vorhandene Lücken schließt.
6 NTFS steht für New Technology File System. Das Dateisystem von Windows NT, einschließlich seiner Nachfolger Windows 2000 und Windows XP basierten darauf.
Von Jutta Berkemer*
* Die Autorin betreut u.a. die hauseigene EDV sowie die Internetauftritte des Gemeindetags Baden-Württemberg.
Unter einem Rootkit (1) versteht man in der Microsoft-Welt
ein Programm, das Dateien (zum Beispiel Viren, Kopierschutz,
Spyware (2) oder sonstige unerwünschte Software) aufspielt und
dabei so gut im System versteckt anbringt, dass die Viren- und
sonstigen Schutzprogramme dieses nicht erkennen können.
Das Rootkit selbst richtet dabei keinen Schaden an, sondern dient lediglich als Werkzeug, um unerwünschte Software ins System einzubringen und zu tarnen. Dabei schalten sich die Rootkits in die Kommunikation von Anwenderprogramm und Betriebssystem ein.
Zwei Arten von Rootkit lassen sich unterscheiden:
● Kernel (3) -Rootkits installieren einen Treiber im Betriebssystem und manipulieren durchgeleitete Informationen, die das Betriebssystem abruft. Die Dateien werden installiert und vor allen Arten von Dateimanagern versteckt – so dass sie nicht sichtbar sind, aber Schaden anrichten können.
● Die andere Art von Rootkits greift die Anwenderprogramme an und manipuliert laufende Prozesse im Speicher. Dabei versteckt sich der Prozess aber, so dass er im Task-Manager (4) unter „Prozesse“ nicht sichtbar ist.
Die Übermittlung erfolgt hauptsächlich über Internetseiten oder E-Mails. Zwischenzeitlich existieren bereits Baukästen, die jedem ohne große Programmierkenntnisse ermöglichen, auf diese Art und Weise schädliche Software getarnt in ein EDV-System zu schmuggeln. Es steht deshalb zu befürchten, dass diese Verseuchung weiter um sich greift. Laut Auskunft von Microsoft ist bereits heute jeder fünfte PC mit einem Rootkit verseucht – allerdings dürfte die tatsächliche Anzahl weit höher sein, da nicht alle User den Patch (5) -Service von Microsoft nutzen oder die Übermittlung von Informationen an Microsoft zulassen. Die Viren- und sonstigen Schutzprogramme erkennen Rootkits nicht, da die unerwünschten Programme so im System versteckt werden, dass sie für die Schutzprogramme unsichtbar sind (zum Beispiel im NTFS (6) -Stream). Virenschutzprogramme untersuchen alle Dateien und vergleichen sie mit der Signaturdatenbank. Wird so ein Virus erkannt, kann er eliminiert werden. Durch die wachsende Zahl der Rootkits entsteht aber immer öfter die Situation, dass eine *rootkit (beliebiger Name)*.exe-Datei ins System kommt, das Virenprogramm dieses neue Rootkit aber noch nicht in der Signaturendatenbank hat und somit auch die Installation der unerwünschten Software nicht verhindert. Nach der Installation kann das Virenschutzprogramm den versteckten Schädling nicht erkennen, so dass das System ungeschützt bleibt.
Wie kann man erkennen, dass der PC befallen ist?
Microsoft selbst bietet einen laufend verbesserten Schutz an, deshalb ist es dringend ratsam, die Patches und die angebotene zusätzliche Software zu installieren. Im Internet Explorer findet sich unter „Extras“ die Funktion „Windows Update“. Damit gelangt man auf eine Internetseite, die das System scannt und alle fehlenden Patches und Programmerweiterungen vorschlägt. Hierzu sind entsprechende Rechte des Benutzers notwendig, da eine Installation erfolgt. In der Kategorie „Wichtig“ werden die Programmerweiterungen angezeigt, die das Microsoft-Betriebssystem sicherer machen. Diese sollten installiert werden. Das Modul „Windows-Tool zum Entfernen bösartiger Software“ bietet nach der Installation Schutz gegen Rootkits, muss aber laufend aktuell gehalten werden. Damit ist der erste Schritt getan – Spezial-Programme sind jedoch ratsam. Da derzeit kein Programm einen 100-prozentigen Schutz bietet, empfiehlt sich eine Kombination aus mindestens zwei Programmen.
Wie kann ein Rootkit entfernt werden?
Ein einfaches Löschen eines Rootkits und der damit eingeschleusten Software ist nicht ratsam, da mit großer Wahrscheinlichkeit dabei auch ein Teil der Kommunikation zwischen Betriebssystem und Anwendungssoftware zerstört wird. Die Folge wäre ein instabiles System, das immer wieder abstürzt oder komplett nicht mehr startbar ist. Die Entfernungsprogramme bringen auch geeignete Löschroutinen mit, so dass damit die Rootkits und die eingeschleppte Software ohne größeres Risiko entfernt werden können. Das Internet bietet sich hier als Recherchequelle an, da das Problem sehr verbreitet ist und damit auch andere an der Lösung arbeiten. In keinem Fall dürfen versteckte Dateien einfach gelöscht werden, denn das Betriebssystem selbst versteckt ebenfalls Dateien, ohne die es nicht funktionieren kann.
Welche Schutzmaßnahmen gibt es?
Das Betriebsystem ist aktuell zu halten, man sollte keine fragwürdigen Internetseiten besuchen und nicht auf *.exe-Anhänge von E-Mails klicken – mit diesen simplen Grundregeln, die auch vor anderen Schädlingen schützen, ist man bereits relativ sicher. Es ist damit zu rechnen, dass in den nächsten Monaten die Hersteller der Antiviren-Software eine Lösung im Rahmen des Virenschutzes anbieten, so dass sich das Problem dann entspannen dürfte.
Allgemeine Sicherheitshinweise findet man beim Bundesamt für Sicherheit in der Informationstechnik unter http://www.bsi.bund.de/gshb/index.htm.
**********
Fußnoten
1 Übersetzt ungefähr: Administratorenwerkzeug. Unter Linux kann ein Administrator mit dem Rootkit in ein System eindringen, um es zu reparieren – allerdings sind auch hier unerwünschte Eingriffe durch Dritte eine ernst zu nehmende Gefahr.
2 Diese Spionagesoftware sucht gezielt nach Informationen wie persönlichen Daten des Benutzers und sendet diese Informationen ohne das Wissen oder die Zustimmung des Benutzers an den Hersteller der Software oder an Dritte. Oft wird Spyware verwendet, um Produkte scheinbar kostenlos anzubieten.
3 Der Kern des Betriebssystems wird im Englischen mit Kernel bezeichnet.
4 Der Task-Manager kann mit der Tastenkombination STRG + ALT + ENT aufgerufen werden.
5 Unter einem Patch (aus dem Englischen – übersetzt: Flicken) versteht man ein Software-Update, das vorhandene Lücken schließt.
6 NTFS steht für New Technology File System. Das Dateisystem von Windows NT, einschließlich seiner Nachfolger Windows 2000 und Windows XP basierten darauf.