Kostenloser Spürhund
Seite 2: Autopsie
Autopsie
Ein "Hidden from Windows API" als Ursache ist ein eindeutiger Hinweis, dass auf dem untersuchten System etwas nicht stimmt. Allerdings legt Windows auf NTFS-Dateisystemen ebenfalls versteckte Bereiche an - etwa Alternate Data Streams (ADS) - um dort Metadaten zu speichern. Damit die durch NTFS-spezifische Metadaten verursachten Diskrepanzen nicht in der Ergebnisliste erscheinen, unterdrückt RootkitRevealer deren Ausgabe. Wer sie doch angezeigt bekommen möchte, deakiviert unter Optionen den Punkt "Hide Standard NTFS Metadata Files".
Hellhörig sollte der Anwender auch bei "Access is Denied"-Meldungen werden, da der Scanner normalerweise keine Zugriffsbeschränkungen kennt. Näher zu untersuchen sind auch Hinweise auf Unterschiede der Länge und der Typen von Einträgen in der Registry (Type Mismatch, API length not consistent). Hintertürchen können der API nämlich falsche Werte vorgaukeln und so die korrekte Anzeige verhindern, um Daten oder sich selbst in Schlüsseln zu verbergen. Zudem zeigen Windows-Bordmittel wie Regedit Registry-Keys nicht richtig an, wenn diese Nullen im Namen enthalten. RootkitRevealer warnt den Anwender, wenn es solche Namen findet ("contains embedded Nulls").
Fehlalarm
Einige der von RootkitRevealer aufgezeigten Merkwürdigkeiten sind oft auf normale aktive Prozesse zurückzuführen. So generiert das Tool ein "Data Mismatch", wenn sich im Laufe eines Registry-Scans ein Wert ändert. Da aber zahlreiche Anwendungen, beispielsweise auch Virenscanner, eigene Einstellungen in der Registry regelmäßig aktualisieren, kann dies ein Fehlalarm sein. Dennoch sollte der Anwender jedem Hinweis nachgehen und prüfen, ob es sich um eine bekannte Anwendung handelt.
Ist eine Datei nicht gleichzeitig über die API, die Master File Table (NTFS) und das Inhaltsverzeichnis sichtbar, so moniert der Scanner ebenfalls eine Ungereimhtheit. Allerdings kann es durchaus während eines Suchlaufs passieren, dass eine Datei erzeugt und gelöscht wird und daher noch nicht allen Instanzen sichtbar ist.
Leider gibt das Tool nur Hilfestellungen zum Aufspüren von Rootkits. Ein Vorschlag wie man sie entfernt, macht es nicht. Ob das Löschen der als verdächtig gemeldeten Dateien und Registry-Keys ausreicht, hängt vom Rootkit ab. Hier muss der Anwender selbst recherchieren -- etwa mit Google -- um welches Kit es sich handelt und wie man dagegen vorgeht. Die einzig zuverlässige Methode ein Fernsteuerprogramm zu beseitigen, ist ohnehin, den Rechner komplett platt zu machen und neu aufzusetzen [5].
