GAZ / WZ  vom 01.10.2005

Unsichtbare Feinde

zurück

Dass Viren und andere Schadsoftware lästig bis unangenehm
sind, diese Erfahrung hat der ein oder andere sicher schon einmal 
gemacht.
Neben Schwachstellen im System, durch das sich entsprechende Software
Zutritt verschaffen kann wie die Vergangenheit gelehrt hat, sind es doch zum überwiegenden Teil unbedachte Mausklicks, die zum Befall führen. 
Ein aktueller Virenscanner erkennt häufig den Eindringling, kann diesen aber nicht immer entfernen.
Moderne Eindringlinge schützen sich durch verschiedene Techniken vor der Entfernung und besitzen oft sogar die zweifelhafte Fähigkeit den Virenscanner zu deaktivieren.
Seit einiger Zeit lebt allerdings eine Technik auf, die manch einer noch unter dem Namen »Stealthtechnik« kennt. Dem Wandel der Zeit folgend wird diese Schadsoftware nun als »Rootkit« bezeichnet. 
Die Bezeichnung ist von Linux übernommen worden und stammt von dem dort als Superuser bezeichnetem Account, derartige Kits haben nun den Weg in Windows gefunden.
Aus der Bezeichnung Kit kann man auch entnehmen, es handelt sich hierbei
nicht um vereinzelte Dateien die ihr Unwesen treiben, sondern eine ganze Sammlung von oft nicht unbeträchtlicher Größe. Einlass in das Betriebssystem
finden diese Pakete durch nicht behobene Sicherheitslücken die durch regelmäßigen Besuch von WindowsUpdate geschlossen würden, oder als Trojaner in angeblich nützlichen Anwendungen. Der Schadcode selbst ist für den Anwender nicht sichtbar und verbirgt sich auch sehr geschickt im Betriebssystem.
Wurden ehemals noch durch diese Rootkits Bestandteile des Betriebssystems ersetzt, ist das bei der Fülle der Anwendungen und Programme nicht mehr möglich.
So wurde Beispielsweise der Taskmanager durch ein manipuliertes Exemplar ersetzt, dass einfach die laufenden Anwendungen nicht mehr alle anzeigte, besitzen diese einen besonderen Namensteil. Dass dies heute bei den komplexen Betriebssystemen nicht mehr möglich ist, leuchtet schnell ein, auch der Systemdateischutz in Windows selbst machte dieser Schadsoftware das Leben schwer. 
Aber auch dieses Hindernis ist überwunden worden, denn diese Rootkits benutzen die Schnittstellen des »API« Application Programming Interface genannt, um sich  für alle anderen Anwendungen unsichtbar zu machen.
Dabei ist es völlig unerheblich ob eine Auflistung mittels Explorer erfolgen soll, oder der Taskmanager laufende Prozesse anzeigt, die Schadsoftware filtert die Anzeige und blendet sich regelrecht aus. 
Selbst der Zugriff auf die Registry wird kontrolliert und Einträge versteckt, womit der Zugriff mit Boardmitteln einfach nicht mehr möglich ist.
Rootkits werden von Antiviren- und Anti-Spysoftware derzeit nicht oder nur unvollständig entdeckt. Entfernt werden bisher allenfalls Teile dieser Schadsoftware mit einem erheblichen Restrisiko da Rootkits derzeit unsichtbare Feinde und nur mit erheblichem Aufwand zu entdecken sind.


Michael Bormann