Rootkit-Scanner: Gefahren erkennen, System abdichten

Immer häufiger wird schädlicher Code unerkannt von Antiviren- und Antispyware-Tools tief im System versteckt - durch Rootkits. Mit welchen Tools man gegen die neue Gefahr gut gewappnet ist, erfahren Sie in diesem Download-Special.

Der Begriff „Rootkits“ stammt ursprünglich aus der Linux-Welt. Dort bezeichnet er ausgebuffte Werkzeuge, die sich Administrator-Rechte verschaffen und so weitreichende Systemänderungen durchführen können. In der Windows-Welt tarnen sich Rootkits häufig als Treiber, laden sich dann als Kernel-Module direkt ins Herz des Betriebssystems. Andere infizieren das System auf User-Ebene, indem sie sich als DLL-Dateien tarnen, API-Funktionen abfangen und so Viren, Spione und Trojaner vor herkömmlichen Scannern verbergen.

Der Rootkit Revealer entlarvt die Meister des Verstecks, ob sie nun im User- oder im Kernel-Modus laufen. Dazu schaut er sich Dateisystem und Registry genau an: Alle Dateien und Registry-Schlüssel eines Systems schreibt er in eine Datenbank und durchkämmt sie nach Diskrepanzen. Nachteil der so genannten Kreuzverhör-Technik: Ändern sich Dateien oder Registry-Einträge zwischen den Abfragen, so kann es zu Fehlalarmen kommen.

Ein einfacheres Prinzip verfolgt der Rootkit Hook Analyzer. Er markiert Systemdienste als suspekt, die nicht auf den Windows-Kern verweisen. Herstellernamen und Produktinformationen werden angezeigt. So kann man sich in User-Foren gezielt Rat suchen, sollte das System befallen sein.

Ashampoo Antispyware ist eine ausgewachsene Sicherheits-Suite, die auch heuristische Suchroutinen nutzt, Archive durchsucht und dem Anwender hilfreiche Informationen gleich an die Hand gibt. Bedenkliche Elemente lassen sich isolieren. Noch im Beta-Stadium befindet sich F-Secures Blacklight. Ähnlich dem Hook Analyzer vergleicht es High-Level- mit Low-Level-APIs, blendet allerdings harmlose Einträge aus und stiftet so nicht unnötig Verwirrung.

Win Patrol prüft das System in Minuten-Abständen auf Änderungen. Die Plus-Version bietet Echtzeit-Überwachung und sorgt dafür, dass sich neuartiger Schadcode gar nicht erst einnistet, den man sich auf Streifzügen durch das Web oder über eingehende Mails einfängt. Wer im Bereich Prozesse und Dienste schon etwas bewandert ist, dem wird der Security Task Manager eine große Hilfe sein. Eine Risiko-Punktebewertung verrät, ob ein Prozess kritische Funktionen aktiviert oder andere verdächtige Eigenschaften enthält.

Der Advanced Spyware Remover kann rund 20.000 bekannte Trojaner und Hijacker, Spyware oder Adware vorn vornherein blockieren. Seinem Prozess-Scanner entgeht Adware selbst dann nicht, wenn sie sich nach dem Rootkits-Prinzip unsichtbar macht. Doch auch für akuten Befall hält er Lösungen bereit. a² Personal schließlich erkennt 25.000 Bedrohungen über eine Datenbank, enthält aber auch einen Hintergrundwächter, der jedes Programm, noch bevor es aktiv wird, auf der Festplatte auf verdächtiges Verhalten überprüft und – falls nötig – am Start hindert. Dem Programm ging bereits das Sony Rootkit ins Netz, das den CD-Kopierschutz DRM neugierigen Blicken entzog.

Themenseiten: Business-Software, Download-Special, Security-Praxis, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Rootkit-Scanner: Gefahren erkennen, System abdichten

Kommentar hinzufügen
  • Am 23. Februar 2006 um 19:52 von Dr.Kurt A.Köhler

    Sicherheit durch Integritätschecker
    Die angesprochene Problematik läßt sich m.E. mit einem simplen Integritätschecker (für PC z.B.: Sentinel) besser beherrschen. Voraussetzung ist dabei ’nur‘, dass bei Bedarf ein einwandfreies, schnell aufspielbares System-Backup zur Verfügung steht.

    • Am 23. Februar 2006 um 21:54 von Timmy Rahn

      AW: Sicherheit durch Integritätschecker
      Besser nur wenn man nach dem Motto verfährt: "Never touch a running system." Ich habe mit Win Patrol als registrierter Nutzer jahrelang nur die besten Erfahrungen gemacht. Für mich ist der PC ein organisches System, jeden Tag kommt etwas dazu. Daher kommt es für mich eher in Frage von Anwendungen auszugehen, die ich installiere oder nutze, statt vom Dateisystem, das bei mir wie gesagt ganz und gar nicht statisch ist!

  • Am 26. Februar 2006 um 10:57 von Bernhard Hepp

    Rootkit-Scanner
    Ich bin Laie auf diesem Gebiet, aber fühle mich jeden Tage als Betroffener. Ist es nicht denkbar grundsätzlich neu über den Aufbau eines temporären Betriebssystems z.B. in Form einer Steckkarte nachzudenken mit einem flüchtigen Datenspeicher? Während der Internetanwendungen sind das fest installierte Betriebssystem und die Festplatte nicht erreichbar. Für die elektronische Post ist jeder selbst verantwortlich.

  • Am 28. April 2006 um 16:21 von biena

    Rootkit Revealer
    Da ich eine Frau bin und mich nicht so gut als Profi mich mache ,ist alles gut und schön ,habe gescannt 4 sachen hat er gefunden und nun ,alles auf Englisch und wie kann ich jetzt löschen ? keiner weiss bescheid ,haben sie eine gute Lösung o.Antwort das sollte auch geschrieben werden .bis dahin biena

  • Am 7. Oktober 2006 um 12:43 von nobodysfool

    doch, natürlich gibt es die!
    auch wenn mein beitrag wahrscheinlich zu spät kommwn wird.. vielleicht interessiert es ja dennoch User, die ebenfalls an diesme Metier interessiert sind!

    ALSO, die einfachste Möglichkeit wäre folgende:
    – Surfen im Web via VM (Virtual Mashine) und aktivieren "Snapshots"!

    Ansonsten könnte man sich eine sekundäre Partition mit voll funktionstüchtigem Windows anlegen und diese mittels einer Systemspiegelung auf einer 2ten Partition, die der Sekundärpartition zugeordnet ist, absichern. Bei Troajnerbefall wäre die "Internetsurf-Partition" über die Zweitpartition einfach zurückzusichern.

    gruß ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *