Rootkits: Trojaner mit Tarnkappe

Die Empörung war groß, als im vergangenen November bekannt wurde, dass der Musikkonzern Sony BMG auf bestimmten Musik-CDs so genannte Rootkits einsetzte. Damit wollte das Unternehmen dafür sorgen, dass die eigene Kopierschutzrichtlinien eingehalten werden. Allerdings installierte sich das Rootkit nach dem Einlegen der CD in den Windows-Rechner und Akzeptieren der Lizenzvereinbarung nicht nur ohne Wissen des Benutzers, sondern es öffnete gleichzeitig eine Hintertür für Viren und andere PC-Schädlinge. Inzwischen hat Sony BMG die betroffenen Musik-CDs zurückgerufen, in den USA wird gegen das Unternehmen ermittelt und ein gesetzliches Verbot von Rootkits erwogen. Auch die deutsche DVD-Version der Komödie "Mr. & Mrs. Smith" benutzt einen Kopierschutz, der Rootkit-ähnliche Technologien einsetzt.

Das Problem ist mit Sonys Rückrufaktion aber nicht behoben: Nach Angaben von Sicherheitsexperten verlegen sich jedoch auch immer mehr Cyber-Kriminelle auf den Einsatz der Tarnprogramme, um ihre Spuren zu verwischen. Der russische Anti-Viren-Software-Hersteller Kaspersky Lab verzeichnete für das vergangene Jahr einen Anstieg der entdeckten Rootkits um 413 Prozent gegenüber dem Vorjahr. Während im Jahr 2004 im Durchschnitt lediglich sechs neue Rootkits ausgemacht wurden, waren es im vergangenen Jahr bereits 32. Ein Grund für die Zunahme ist unter anderem die öffentliche Verbreitung der Quelltexte im Internet. Begünstigt wird die Verbreitung auch dadurch, dass viele Windows-User mit Administratoren-Rechten arbeiten, was den Rootkits eine erfolgreiche Installation auf einem System erleichtert.

Trojaner der jüngsten Generation

"Rootkits sind Trojaner der jüngsten Generation", erklärt Yury Mashevsky, Viren-Analytiker bei Kaspersky Lab, und würden zur Tarnung vorhandener Schadprogramme auf infizierten Systemen eingesetzt. Ursprünglich bezeichne der Terminus einen Programm-Bausatz, der es dem Hacker ermöglicht, sich auf einer gehackten Maschine festzusetzen, ohne entdeckt zu werden. Hierfür würden entweder Ausführungsdateien bzw. System-Bibliotheken ausgetauscht oder ein Kernel-Modul installiert. Dadurch sollen Versuche des Anwenders, wahre Informationen über die Vorgänge auf dem Computer zu erhalten, unterbunden werden - ungewöhnliche Netzaktivitäten, Registry-Änderungen und andere auffällige Prozesse bemerkt der Nutzer also gar nicht. Die Rootkits verwenden die Kriminellen, um andere Malware auf dem System zu verstecken, die private Daten sammelt oder Tastatureingaben aufzeichnet.

Ob der eigene Rechner von einem Rootkit infiziert wurde, ist leider nur schwer zu erkennen, da die Rootkits im Verborgenen arbeiten und die Anzeichen eines Befalls - eine langsamere Rechnerleistung zum Beispiel - meist nicht sichtbar sind. Hilfe leisten in diesem Fall Programme, die auf das Enttarnen von Rootkits im System spezialisiert sind. Ein kostenloses Tool stellt beispielsweise Sysinternals mit dem RootkitRevealer v1.7 auf seiner Website zu Download bereit. Das englischsprachige Programm weist jedoch lediglich auf anormale Vorgänge hin und entfernt nichts.