Kostenloser Spürhund
Rootkits verbergen die Anwesenheit von Einbrechern im System vor dem Eigentümer und seinem Antiviren-Scanner. Das Tool RootkitRevealer liefert Hinweise, ob Ihr Rechner vielleicht schon enteignet ist.
- Daniel Bachfeld
Die meisten Windows-Würmer installieren mittlerweile Hintertürchen und Trojaner, mit denen Angreifer die vollständige Kontrolle über das System erhalten. Viele dieser Schadprogramme entdeckt man bereits, wenn man in die Prozessliste des Systems schaut, die aus- und eingehende Netzwerkverbindungen beobachtet oder nach neu installierten Dateien sucht.
So einfach ist die Bekämpfung solcher Schädlinge allerdings nicht immer. Rootkits greifen in die Funktionen des Betriebssystems ein, um sich so gut wie unsichtbar zu machen und ihre Aktivitäten zu verschleiern. Der eigene PC kann so umbemerkt etwa zum Spam-Zombie mutieren. Neuere Entwicklungen fangen Systemaufrufe an den Kernel ab, um nicht mehr in der Prozessliste zu erscheinen oder bei Abfragen der Registry manipulierte Schlüssel auszufiltern [1].
Damit wird es nicht nur für den normalen Anwender unmöglich, festzustellen, ob sein System infiziert ist. Auch Antiviren- und Antispyware-Programme versagen beim Aufspüren aktueller Rootkits. Einige Hersteller entwickeln deshalb dedizierte Rootkit Detection Tools für Windows-PCs, die beim Finden helfen sollen. So auch der Softwarehersteller Sysinternals, der sein Programm RootkitRevealer kostenlos auf seinen Seiten zum Download anbietet [2].
Denunziant
Wer allerdings ein Tool erwartet, das auf Knopfdruck ein Rootkit entdeckt, wird enttäuscht. Anders als die Beta-Version des F-Secure-Tools Blacklight liefert Sysinternals Spürhund nur Hinweise auf Anomalien des Systems und entfernt nichts. Ob die Ursache einer Warnung wirklich ein bösartiges Programm ist, das sich eingenistet hat, muss der Anwender selbst entscheiden. RootkitRevealer läuft unter Windows ab Version NT 4.0 und meldet Diskrepanzen beim Auflisten der Registry und beim Anzeigen von Verzeichnisinhalten.
Dazu greift der Detector über das Windows-API auf die Daten zu und vergleicht die Ergebnisse eines weiteren Low-Level-Zugriffs auf ein FAT- oder NTFS-Dateisystem an dem API vorbei. Bei Unterschieden in den zurückgelieferten Daten könnte ein Rootkit dahinter stecken. Das Tool erkennt aber keine bösartigen Programme, die sich gar nicht die Mühe machen, ihre Existenz zu verbergen. Für deren Entdeckung sollte eigentlich ein Antispyware-Tool oder ein Virenscanner ausreichen. Auch muss es sich um ein persistentes Rootkit handeln; solche, die sich nur zur Laufzeit im Speicher verbergen, bleiben ebenfalls vom RootkitRevelealer unentdeckt.
Sysinternals aktuelle Version 1.32 des Detektorprogramms gibt es nur als GUI-Version, bis 1.20 enthielt das herunterladbare Archiv noch eine eigene Anwendung für die Kommandozeile. Bei der grafischen Version reicht ein Klick für den Start der Analyse. Zum Durchforsten der Festplatte und Registry benötigt das Tool Administratorrechte. Verdächtige Schlüssel oder Dateien zeigt RootkitRevealer mit dem kompletten Pfad und dem Grund der Diskrepanz an - bislang aber nur in englisch.
