https://www.computerweekly.com/de/tipp/Die-sieben-besten-Anti-Rootkit-Tools-fuer-Windows
Um die Begriffe Malware und Rootkit herrscht einige Verwirrung. Im Zusammenhang mit Malware wird als Rootkit der Teil bezeichnet, der dafür sorgt, dass ein Cyber-Krimineller Zugang zum infizierten System behält. Auch wenn die eigentliche Malware-Engine aus dem infizierten System entfernt wird, kann es über das Rootkit dann erneut infiziert werden.
Ein typisches Beispiel für einen Kernel-Mode Rootkit ist ein Kernel-Treiber, sagen wir rootkit.sys. Diese Datei verwendet die Registry, um sich während des Systemstarts selbst zu laden und überwacht dann Events wie Registry-Änderungen, neue Prozesse, Registrierung neuer Dateisystem, sowie Wechselmedien wie USB-Sticks. Historisch entstand der Begriff, als Übeltäter begannen, sich mittels modifizierter Binaries Superuser-Zugriff („root“) auf Unix-Systemen zu verschaffen.
Ein Malware-Payload kann oft entfernt werden indem man die Funktion der verantwortlichen Windows-EXE/DLL unterbindet. Dies wird üblicherweise erreicht durch das Starten von Windows im abgesicherten Modus, um Registry-Schlüssel und die für den Malware-Start verantwortlichen Dateien zu entfernen. Allerdings sind Rootkits ausgefeilte Module, die sich tief im Betriebssystem (OS) verbergen, zusammen mit legitimer Software (etwa für das Funktionieren des OS notwendige Treiber). Beispiele dafür sind die TDL Rootkits und die von der Cutwail-Familie verwendeten.
Ein Anti-Rootkit ist ein Tool zur Identifizierung verschiedener Bedrohungen, darunter schädliche und verdächtige Prozesse, Hooks oder Module, Registry-Schlüssel, veränderte Dateien sowie bekannte oder unbekannte Rootkits. Dabei helfen üblicherweise Techniken wie die Identifizierung von Prozess-Hooks, Untersuchung von Gerätetreibern, digitale Signaturen und Netzwerk-Aktivität auf dem beobachteten System. Der Nutzen von Anti- Rootkit-Software hängt oft ab von Faktoren wie:
Effektivität: Wie regelmäßig wird das Anti-Rootkit aktualisiert?
Benutzung: Wie umfangreich ist die Dokumentation?
Umsetzung: Wie wirksam sind die eingesetzten Techniken angesichts sich rasch verändernder, ausgefeilter Rootkits?
Fähigkeiten: Beim Benutzer vorhandenes Geschick und Erfahrung in Bezug auf sein Betriebssystem ist der vielleicht wichtigste Faktor.
Zu den von Anti-Rootkits eingesetzten Methoden gehört der Vergleich von Dateien, der Registry mit der eines sauberen Systems, der Kernel-Systemaufrufe mit den entsprechenden Disk-Images, Erkennen abweichender Daten-Streams, sowie Abgleich des Kernel-Speichers mit den Signaturen bekannter Rootkits.
Anti-Rootkit-Software für Windows lässt sich in zwei Kategorien unterteilen:
1. Analytisch und diagnostisch
Die Verwendung dieser ausgefeilten Werkzeuge erfordert erhebliche Kenntnisse über die Interna des Windows-Betriebssystems. Diese Tools helfen Experten mit einem Überblick über das infizierte System. Anfänger werden mit ihrem Output vermutlich wenig anfangen können (diese Werkzeuge sind für sie auch nicht zu empfehlen). Diese Anti-Rootkits sind transparent genug, eine sezierte Ansicht des Systems zu zeigen, und fast alle kommen mit dem Warnhinweis "Benutzung auf eigene Gefahr". Es wird empfohlen, Daten vorher zu sichern oder das Tool zunächst auf einer Testmaschine einzusetzen. Da alle Werkzeuge sich mit kritischen OS-Interna befassen, könnte jeder unbeabsichtigte Fehler zu einem instabilen System und Datenverlust führen. Zu den bekannteren zählen GMER, Rootkit Unhooker und RootRepeal.
2. Scannen und reparieren
Dies ist eher eine „Quick Fix“-Kategorie. Gedacht zum Scannen und Entfernen von Rootkits, funktionieren diese Anti-Rootkits wie herkömmliche Antiviren-Software. Jedoch ist ihre Effektivität abhängig von der Häufigkeit ihrer Updates, so wird ein im Jahr 2007 veröffentlichtes Anti-Rootkit nicht in der Lage sein, die berüchtigten TDL-Rootkits (erstmals 2008 nachgewiesen) zu erkennen.
Die Programmierung eines generischen Anti-Rootkit zur Abwehr aller bekannten Typen ist eine sehr schwierige Aufgabe. Dafür ist oft ein vollständiges Antivirus-Paket besser geeignet, denn von Anti-Rootkits wird erwartet, dass sie kompakt sind. Ein paar populäre Beispiele für solche Lösungen sind Dr. Web CureIt, RootkitRevealer und F-Secure BlackLight.
1. GMER
Kategorie: Analytisch
GMER gehört zu den besten im Internet verfügbaren Anti-Rootkit-Angeboten. Es scannt nach versteckten Prozessen, Threads, Modulen, Diensten, versteckten Dateien, alternativen Datenströmen und Registry-Schlüsseln. GMER überwacht auch Treiber, die sich in System Service Dispatch Tables (SSDT), Interrupt-Deskriptortabellen (IDT), IRP-Aufrufe und Inline-Hooks einhängen. Es ist in vielen Fällen ein unverzichtbares Werkzeug zur Entfernung von Rootkits.
2. RootRepeal
Kategorie: Analytisch
Root Repeal ist ein weiteres Tool zum Detektieren und Entfernen von Rootkits. Es scannt nach versteckten Treibern, Dateien, Prozessen, SSDT und Stealth-Objekten. Es hat eine benutzerfreundliche Oberfläche und einen guten Funktionsumfang.
3. VBA32 ARkit
Kategorie: Analytisch
Eine leistungsstarke Anti-Rootkit-Lösung. Ein gutes Feature ist das Prüfen digitaler Signaturen von gescannten Dateien.
4. Rootkit Unhooker
Kategorie: Analytisch
Ein recht beliebtes Anti-Rootkit.
Kategorie: Scan & Fix
Ein effektives und einfach zu verwendendes Scan- und Removal-Tool. Die kostenlose Version ist nur für Heim-PCs verfügbar und führt einen Express-Scan aus.
6. Sysreveal
Kategorie: Analytisch
Sysreveal ist ein weiteres aufstrebendes Anti-Rootkit-Tool. Es kann Prozesse, Treiber SSDT, IDT und verschiedene Arten von Hooks sichtbar machen.
7. IceSword
Kategorie: Analytisch
IceSword scannt und überwacht Prozesse, Ports, Kernel-Module, Autostart-Programme, Windows-Dienste, Protokolle und die Erstellung von Threads. Es ist ein ausgezeichnetes Werkzeug zur Diagnostik und Abwehr von Rootkits. Da es von einem chinesischen Programmierer geschrieben wurde, gibt es nur eine begrenzte Unterstützung für Englisch und andere Sprachen.
Abgesehen von diesen populären Paketen verdienen auch folgende Scan-and-Fix-Lösungen eine Erwähnung:
• RootkitRevealer von Windows Sysinternals
• Sophos Anti-Rootkit (Virus Removal Tool)
Über den Autor: Aditya Lad hat einen B.Tech-Abschluss in Elektrotechnik von der IIT Roorkee. Computer-Sicherheit gehört zu seinen Hauptinteressen. Derzeit arbeitet Lad als Software-Entwickler bei einem in Bangalore ansässigen Unternehmen und gehört zum Bangalore-Chapter von null, einer Community für Open Security (www.null.co.in). Er ist erreichbar unter [email protected].
15 März 2011