Rootkits entfernen

Rootkit entfernen

Obwohl sie selbst keinen Schaden anrichten, sind Rootkits vielleicht die gefährlichste Art von Malware. Mit einem Rootkit kann ein Angreifer einen Computer völlig unter seine Kontrolle bringen und ganz nach Belieben schädliche Software darauf laufen lassen. Rootkits verbergen sich selbst und die Aktionen des Angreifers vor dem Nutzer. Sie sind nur schwer zu entdecken und zu entfernen.

Was ist ein Rootkit?

Das Wort Rootkit setzt sich zusammen aus „root“, dem Namen des allmächtigen Administratoren-Accounts auf Unix-Betriebssystemen, und „kit“, dem englischen Begriff für Bausatz beziehungsweise Set. Ein Rootkit ist also ein Set aus Werkzeugen, mit dem sich Angreifer Administratorrechte auf dem Rechner des Opfers verschaffen. Zu diesem Zweck ersetzt es Funktionen des Betriebssystems. Das Rootkit verschleiert seine Anwesenheit, indem es beispielsweise verhindert, dass bestimmte Dateien angezeigt werden und dass die Aktivität des Angreifers in Logdateien erscheint.

Arten von Rootkits

Je nachdem, an welcher Stelle im System sie sich einhaken, werden fünf verschiedenen Arten von Rootkits unterschieden. Nur zwei davon, Kernel-Rootkits und Userland-Rootkits, spielen eine größere Rolle. Die anderen drei sind als Bedrohungsszenario kaum relevant.

Kernel-Rootkits

Diese Rootkits ersetzen Teile des Betriebssystemkerns (Kernel) mit eigenem Code. Sie manipulieren das System also auf einer sehr tiefen Ebene. Sie können auch die Anzeige von Dateien und Prozessen unterdrücken und so der Entdeckung entgehen.

Userland-Rootkits

Diese Art von Rootkits benötigt keinen Zugriff auf der Kernel-Ebene, was ihre Entwicklung und Anwendung einfacher macht. Sie klinken sich aber ähnlich tief in das System ein und modifizieren alle laufenden Prozesse. Besonders gerne werden sie für Angriffe auf Windows-Rechner eingesetzt.

Application-Rootkits

Die ersten Rootkits waren Application-Rootkits und bestanden aus manipulierten Versionen von Unix-Tools wie ps, password und Ähnlichem. Diese Rootkits sind sehr leicht zu erkennen, daher sind sie vergleichsweise ungefährlich und heute beinahe völlig bedeutungslos.

Speicher-Rootkits

Rootkits, die nur im Arbeitsspeicher des laufenden Systems existieren, lassen sich besonders gut verbergen, sie sind aber nicht beständig. Nach dem Neustart des betroffenen Systems sind sie spurlos verschwunden.

Virtualisierungs-Rootkits

Im Film Inception spielt Leonardo DiCaprio einen Agenten, der in die Träume seiner Opfer eindringt, um dort Informationen zu stehlen. Dabei ist es ihm auch möglich, einen Traum im Traum zu betreten und so in immer tiefere Traumebenen einzudringen.

So ähnlich funktioniert Virtualisierung auf Computern. Innerhalb eines Betriebssystems wird ein virtueller Rechner erschaffen, in dem ein weiteres Betriebssystem läuft. Virtualisierungs-Rootkits machen sich diese Technologie zu Nutze, indem sie das schon vorhandene Betriebssystem in eine virtuelle Umgebung versetzen. Diese Rootkits bilden also eine Softwareebene unter dem Betriebssystem, wodurch sie für den Anwender so gut wie unsichtbar sind.

Für diese Technologie existieren bis jetzt nur zwei Machbarkeitsdemonstrationen, eine von einer polnischen Hackerin und eine von Microsoft. Über tatsächliche Angriffe mit Virtualisierungs-Rootkits ist nichts bekannt.

Welchen Schaden richten Rootkits an?

Da Rootkits einem Hacker die volle Kontrolle über einen Rechner geben, ist das Schadenspotential nahezu unbegrenzt. Eingeschränkt wird es höchstens durch die Gefahr der Entdeckung. Das Rootkit hilft zwar, die Spuren des Eindringlings zu verwischen, aber hat dazu auch nur ein bestimmtes Set an Möglichkeiten. Angreifer, die beispielsweise die Systemleistung zu sehr beanspruchen und eine auffällige Verlangsamung des Computers verursachen, riskieren, entdeckt zu werden. Dasselbe gilt für alle Aktionen, die dazu führen, dass sich der Computer ungewöhnlich verhält, und damit den User Verdacht schöpfen lassen.

Computer-Eindringling
Vergrößern
Kontrolliert ein Eindringling den Computer erst einmal mit einem Rootkit, hat er viele Möglichkeiten, Schaden anzurichten.

Mit einem Rootkit kann ein Keylogger installiert werden, der die Benutzerangaben des Anwenders protokolliert. So verschaffen sich Angreifer Zugriff auf E-Mail-Accounts und Bankkonten. Wer einen Rechner mittels Rootkit kontrolliert, kann ihn natürlich auch einfach nach Dokumenten durchsuchen, die ihn interessieren.

Gekaperter Rechner werden auch als Werkzeug zum Hacken weiterer Rechner verwendet. Das verwenden solcher „Zwischenstationen“ erschwert die Rückverfolgung zum eigentlichen Urheber des Hackangriffs.

Der übergriffige Kopierschutz von Sony

Rootkits werden nicht nur von den kriminellen Hackern eingesetzt. Für den größten bisher bekannt gewordenen Rootkit-Vorfall zeichnet sich der Konzern Sony verantwortlich. Dieser musste mehrere Musik-CDs zurückrufen, als 2005 bekannt wurde, dass der verwendete Kopierschutz ein Rootkit auf den Windows-Rechnern der Kunden installierte.

Dieses Rootkit verhinderte das Kopieren von Musik-CDs auf den befallenen Rechnern. Zum Skandal trug auch bei, dass es heimlich Daten über die Hörgewohnheiten der Nutzer erfasste, ähnlich wie es Streaming-Dienste (zum Beispiel Spotify und Amazon Prime Music) heute ganz offen und selbstverständlich tun. Das Sony-Rootkit blieb anfangs unentdeckt, da die damaligen Virenscanner es nicht erkennen konnten.

Rootkits erkennen

Die Entdeckung von Rootkits ist notorisch schwierig, da sie extra dafür entwickelt wurden, unentdeckt zu bleiben. Sie verstecken sich auf Betriebssystemebene und bleiben daher auch für Antivirenprogramme oft unsichtbar.

Jedes Rootkit ist anders, daher gibt es keine eindeutigen Hinweise darauf, dass sich eines auf dem eigenen Rechner eingenistet hat. Unerklärliches Verhalten des Computers, beispielsweise Festplattenaktivitäten trotz Inaktivität, können Anzeichen für ein Rootkit sein. Für solche Auffälligkeiten gibt es aber auch viele andere Erklärungen, die meistens naheliegender und wahrscheinlicher sind.

Sie beste Methode zum Auffinden eines Rootkits ist es, den Computer mit einem sicheren Bootmedium zu starten und ihn von diesem Notfallsbetriebssystem aus zu scannen. So kann das Rootkit seine Spuren im Dateisystem nicht verstecken, indem es das befallene Betriebssystem manipuliert.

Rootkits entfernen

Vorausgesetzt, sie werden von einem nicht infizierten Rettungsdatenträger aus gestartet, sind handelsübliche Antivirenprogramme relativ gut darin, Rootkits zu erkennen. Mit der Entfernung tun sich diese generischen Programme hingegen schwer, da diese Art von Malware sich so tief ins Betriebssystem einnistet, dass das Löschen einiger Dateien nicht reicht, um sie los zu werden.

Falls ein Rootkit gefunden wurde, ist es ratsam, sich an eine maßgeschneiderte Entfernungsanleitung für genau dieses Rootkit zu halten. Für manche Rootkits sind spezifische Entfernungsprogramme verfügbar. Solche Programme sind üblicherweise kostenlos verfügbar. Falls sich kein geeignetes Programm auftreiben lässt, hilft oft nur die Neuinstallation des Betriebssystems. Das ist die sicherste Methode, um ein Rootkit loszuwerden.