Kostenloser Spürhund

Seite 3: Bäumchen, wechsle dich

Bäumchen, wechsle dich

In der Beschreibung zu RootkitRevealer wird es bereits angedeutet: Theoretisch kann sich ein Rootkit auch vor RootkitRevealer verstecken. Die grundsätzliche Schwäche des Tools ist nämlich, dass es nur dann funktioniert, wenn auch das Rootkit aktiv ist. Eines der am meisten verbreiteten -- das kostenpflichtige HackerDefender -- fährt daher neuerdings eine ganz simple Strategie: Läuft RootkitRevealer, biegt es einfach keine API-Aufrufe mehr um. Ob ein Scanner nach ihm sucht, stellt es über die Prozessliste fest. Ähnlich ergeht es der Beta-Version von F-Secures Rootkit-Jäger BlackLight. Als Abhilfe empfehlen die Hersteller, den Namen der EXE-Datei zu ändern. HackerDefender würde so nicht mehr die Gegenwart des Detektors bemerken.

Wie lange dieser Trick hilft, bleibt abzuwarten. In der Regel passen die Rootkit-Programmierer ihre Tools sehr schnell an neue Anforderungen an, beispielsweise indem sie die Dateigröße abfragen oder nach Signaturen im Speicher suchen. Ob andere Ansätze zum Aufspüren besser sind, muss sich erst noch zeigen. Microsofts noch nicht öffentlich verfügbarer Strider Ghostbuster ist beispielsweise in der Lage, die ohne Verwendung des Betriebssystems auf der Festplatte vorgefundenen Informationen mit denen im aktiven Betrieb zu vergleichen. [6].

Glaskugel

Sysinternals Tool kann einen Verdacht auf Befall erhärten, allerdings kann es auch unnötige Panik verursachen. Im Test mokierte es sich über Registry-Einträge, die sich bei näherer Untersuchung als harmlos heraus stellten. Für die nähere Untersuchung sind weitere Werkzeuge nötig [3,4], die Bereinigung muss man zudem selber erledigen -- wer es einfacher haben will, muss auf Programme wie Blacklight zurückgreifen [7]. Findet RootkitRevealer nichts, muss das nicht heißen, dass der Rechner frei von Rootkits ist. Das Tool ist ein zusätzliches Werkzeug in der Anti-Rootkit-Werkzeugkiste und nur für fortgeschrittene Anwender geeignet.