Jagd auf unsichtbare PC-Feinde
Von Christian Lanzerath
Rootkits sind noch ein recht unbekanntes Phänomen in der Windows-Welt - aber ein gefährliches. Diese Programme verstecken Malware so gut im System, dass selbst viele Virenscanner sie nicht mehr finden. Hier müssen spezielle Anti-Rootkit-Tools ran. CHIP Online zeigt, wie Sie den Tarnkappen-Schädlingen auf die Spur kommen.
Isoliert betrachtet sind Rootkits nicht gefährlich. Doch zusammen mit Viren, Würmern und Trojanern zeigen sie ihr teuflisches Potential: Sie sorgen dafür, dass weder Anwender noch Antiviren-Software von der Anwesenheit der digitalen Schädlinge etwas bemerken. Meistens setzen sie sich tief im Innern von Windows fest und manipulieren Systemfunktionen. So fangen sie etwa Anfragen des Windows-Explorers, des Task-Managers oder eines Virenscanners an das Dateisystem ab, löschen alle Hinweise auf sich selbst und geben dann erst die gefälschte Antwort weiter. Konsequenz: Zumindest mit Standardmitteln sind Rootkits nicht aufzuspüren. Hier kommen Spezialisten zum Einsatz.
Wichtig:
Bevor Sie auf die Jagd nach Rootkits gehen, legen Sie eine Sicherung Ihrer eigenen Dateien (Dokumente, Bilder, Musik) an. Nicht immer funktioniert das Entfernen der Schädlinge ohne Nebenwirkungen für das System. Einige Hersteller von Virenscannern bieten spezielle Anti-Rootkit-Software. Diese Ein-Klick-Tools sind in der Regel einfach zu bedienen und verlangen vom Anwender wenig Wissen über Rootkits und den Aufbau des Betriebssystems. Wir zeigen die Jagd mit Hilfe des kostenlosen Anti-Rootkits von Sophos.
|
Hacker Defender
Anhand des Rootkits Hacker Defender lässt sich veranschaulichen, wie Sophos Anti-Rootkit funktioniert. Hacker Defender war eines der ersten Rootkits für Windows und wird mittlerweile von den meisten Antiviren-Tools erkannt. Dennoch zeigt dieser Schädling eindrucksvoll, wie Rootkits funktionieren: Nach der Installation, versteckt er alle Dateien, Prozesse und Registry-Einträge, die mit der Zeichenfolge "hxdef" beginnen. Ein Trojaner, der etwa Passwörter ausspioniert oder den eigenen Rechner fernsteuert, kann so vor neugierigen Blicken versteckt werden.
| |
Der kleine Unterschied
Installieren Sie Sophos Anti-Rootkit auf Ihrem Rechner und starten Sie es. Zu Beginn werden Sie gefragt, welche Bereiche Sie scannen wollen. Sie sollten hier alle Punkte aktivieren und mit einem Klick auf »Start scan« beginnen. Das Tool durchsucht nun alle laufenden Prozesse, die Windows-Registry und die Festplatte. Dabei vergleicht es die Einträge, die ein Aufruf mit den üblichen Windows-Funktionen liefert, mit denen, die es erhält, wenn es selbst direkt auf dem Datenträger oder in der Registry nachschaut. Unterschiede in den Listen lassen auf versteckte Objekte und damit auf ein Rootkit schließen.
|
Löscharbeiten
Diese Funde listet Anti-Rootkit auf. An dieser Stelle können Sie aber zunächst nur die gefundenen Dateien löschen, indem Sie diese markieren und auf »Clean up ckecked items« klicken. Besonders verdächtige Dateien wie etwa Programm- oder Treiberdateien, sind schon ausgewählt. Registry-Einträge müssen Sie manuell mit regedit löschen. Nach der Reinigung starten Sie den Rechner neu. Sophos Anti-Rootkit sollte nun alle wichtigen Bestandteile des Rootkits entfernt haben, so dass auch im Kielwasser schwimmende Trojaner wieder sichtbar sind. Diese entfernen Sie nun mit einem normalen Virenscanner wie Avira Antivir oder Avast 4 Home.
|
Alternative
Bei der Jagd nach Rootkits heißt das Motto "Viel hilft auch viel." Ein Anti-Rootkit-Tool kann nicht alle Schädlinge aufspüren. Verwenden Sie also bei der Suche immer verschiedene Programme. Eine Alternative ist zum Beispiel RootAlyzer von Patrick Kolla, dem Entwickler von Spybot Search & Destroy. Das Programm befindet sich noch in einer frühen Enwicklungsphase und durchsucht derzeit nur Registry und Festplatte, soll aber stetig verbessert werden.
|
 | 
Ein-Klick-Anti-Rootkit-Tools
|  |
| |
Ein-Klick-Rookit-Killer sind einfach zu bedienen, finden aber nicht jeden Schädling. Hier müssen Spezialisten ran, die tief im System scannen und alle Verstecke kennen – aber nicht so einfach zu bedienen sind. CHIP Online zeigt anhand des Freeware-Tools Gmer, wie Profis auf Rootkit-Jagd gehen. |
FU-Rootkit
Als Beispiel-Rootkit hält FU her. FU versteckt laufende Prozesse, so dass Sie weder mit dem Task Manager noch mit dem Process Explorer von Sysinternals angezeigt werden. Ein Trojaner kann so im System sein Unwesen treiben, ohne bemerkt zu werden. Hier kommt das Anti-Rootkit Gmer ins Spiel. Sie müssen das Programm nicht installieren, ein Doppelklick auf die EXE-Datei genügt. Gleich nach dem Start führt Gmer einen ersten Scan durch, der allerdings sehr oberflächlich ist. Sie sollten daher im Reiter »Rootkit/Malware« einen zweiten Suchdurchlauf starten. Aktivieren Sie alle Checkboxen auf der rechten Seite und wählen Sie das Laufwerk aus, das durchsucht werden soll. Ein Klick auf den Button »Scan« startet die Suche.
Gründlicher Scan
Gmer listet nun versteckte Dateien, Prozesse und Registry-Einträge auf, jeweils mit dem kompletten Dateipfad. Jetzt wissen Sie schon mal, welche Objekte das Rootkit wo versteckt. Besonders interessant sind die Einträge, die in der ersten Spalte mit »Processes« markiert sind. Öffnen Sie mit einem Rechtsklick darauf das Kontextmenü und wählen Sie »Kill Process«. Damit beenden Sie den Prozess, der zum Rootkit gehört und Malware versteckt oder gar selbst ein Trojaner ist. Außerdem können Sie über den Reiter »Files« auch Dateien löschen, die der Scan zutage gefördert hat. Den Pfad zur versteckten Datei erfahren Sie wiederum über den Reiter »Rootkit/Malware«. Gleiches gilt auch für Dienste, die das Rootkits installiert oder versteckt hat. Diese finden Sie nach einem Klick auf »Services«. Fehlerhafte Registry-Einträge werden zwar unterhalb von »Registry« angezeigt, löschen können Sie diese aber hier nicht. Das müssen Sie mit regedit nachholen, sobald Sie das Rootkit eliminiert haben. Nachdem Sie nun Prozesse "gekillt" und versteckte Dateien gelöscht haben, starten Sie mit einem Virenscanner die Jagd nach den eigentlichen Schädlingen, den Viren, Würmern und Trojanern, die vorher vom Rootkit noch versteckt wurden.
|  Holzhammermethode: Hartnäckige Fälle
Sind Sie auch nach dieser Prozedur noch nicht sicher, ob der Rechner wieder sauber ist, gibt es noch eine Radikallösung. Starten Sie Gmer und gehen Sie zum Reiter »Processes«. Hier klicken Sie auf Button »Kill all«. Dieser Schritt beendet mit Ausnahme von gmer.exe und csrss.exe alle Prozesse – auch die des Rootkits. Die Tarnkappe ist also nicht mehr aktiv. Über den Button »Run« reaktivieren Sie nun den Virenscanner. Nutzen Sie zum Beispiel Avira AntiVir suchen Sie nach einem Klick auf den Durchsuchen-Button die Datei »avcenter.exe« im Verzeichnis »C:\Programme\Avira\AntiVir PersonalEdition Classic«. Mit einem Klick auf »OK« und »Run« startet das Programm. Nachdem Sie die Malware mit dem Antiviren-Programm entfernt haben, starten Sie den PC über »Processes | Restart« neu.
Und noch ein Tipp: Sollte ein Rootkit oder Trojaner die Ausführung von Gmer verhindern, nennen Sie die Datei gmer.exe einfach in gmer.bat oder test.exe um. In vielen Fällen, aber nicht in allen, hilft dieser Trick.
|
| |
