Rootkits: Hacker-Tools für Spionage und Datenklau

Beim populären Rootkit Hacker Defender hilft manchmal ein einfacher Test, wenn der PC unter Windows XP läuft. Dazu öffnet man eine DOS-Box und wechselt in das Verzeichnis:

C:WindowsPrefetch

Dort gibt man den Befehl cd HXDEF1~1.PF ein. Wenn Hacker Defender installiert ist, antwortet Windows mit der Mitteilung, dass der Verzeichnisname ungültig ist. Ohne Hacker Defender sagt Windows „Datei oder Dateiname nicht gefunden“.

Die Liste der Rootkits ist viel zu lang, als dass solche punktuellen Tests wirklich etwas ausrichten könnten. Zum Glück gibt es eine ganze Reihe von Tools, die sich auf das Finden und Entfernen von Rootkits spezialisiert haben. Microsoft macht mit seinem Malicious Software Removal Tool den Anfang. Die Software lässt sich von Microsofts Website kostenlos herunterladen. Wer automatische Updates abonniert hat, bekommt ohnehin einmal im Monat eine aktualisierte Version, die auch gleich nach Eindringlingen sucht.

Der Hersteller arbeitet aber schon seit längerem an einer weit mächtigeren Software zur Rootkit Bekämpfung. Sie ist unter dem Arbeitstitel „Strider Ghostbuster“ bekannt. Informationen dazu gibt es bei Microsoft bereits, das Tool liegt aber noch nicht zum Download vor. Strider GhostBuster arbeitet nach einem differenziellen Verfahren. Dabei zeichnet die Software den Systemzustand im laufenden Betrieb auf und startet den PC dann von einer CD-Version (WinPE) des Betriebssystems. Dort sind die Rootkits natürlich nicht aktiv und können ihre Anwesenheit auf der Festplatte kaum verbergen. Nach einem ähnlichen Prinzip funktioniert das kostenlose Rootkit Revealer vom Systemspezialisten Sysinternals. Rootkit Revealer vergleicht die Ergebnisse eines High-Level System-Scans mit denen eines Low-Level Scans, in den auch Dateisystem- und Partitionsdaten einfließen. Denn auch wenn das Rootkit die Verzeichnislisten manipuliert und Dateien nicht anzeigt, irgendwo sind sie physikalisch gespeichert. Doch auch dagegen gibt es bereits Abwehrmaßnahmen. Hacker Defender stoppt beispielsweise seine API-Manipulationen, solange der RootkitRevealer scannt. Und ohne aktives Rootkit gibt es auch keine Diskrepanzen mit dem Dateisystem.