Rootkit-Scanner: Gefahren erkennen, System abdichten

Der Begriff „Rootkits“ stammt ursprünglich aus der Linux-Welt. Dort bezeichnet er ausgebuffte Werkzeuge, die sich Administrator-Rechte verschaffen und so weitreichende Systemänderungen durchführen können. In der Windows-Welt tarnen sich Rootkits häufig als Treiber, laden sich dann als Kernel-Module direkt ins Herz des Betriebssystems. Andere infizieren das System auf User-Ebene, indem sie sich als DLL-Dateien tarnen, API-Funktionen abfangen und so Viren, Spione und Trojaner vor herkömmlichen Scannern verbergen.

Der Rootkit Revealer entlarvt die Meister des Verstecks, ob sie nun im User- oder im Kernel-Modus laufen. Dazu schaut er sich Dateisystem und Registry genau an: Alle Dateien und Registry-Schlüssel eines Systems schreibt er in eine Datenbank und durchkämmt sie nach Diskrepanzen. Nachteil der so genannten Kreuzverhör-Technik: Ändern sich Dateien oder Registry-Einträge zwischen den Abfragen, so kann es zu Fehlalarmen kommen.

Ein einfacheres Prinzip verfolgt der Rootkit Hook Analyzer. Er markiert Systemdienste als suspekt, die nicht auf den Windows-Kern verweisen. Herstellernamen und Produktinformationen werden angezeigt. So kann man sich in User-Foren gezielt Rat suchen, sollte das System befallen sein.

Ashampoo Antispyware ist eine ausgewachsene Sicherheits-Suite, die auch heuristische Suchroutinen nutzt, Archive durchsucht und dem Anwender hilfreiche Informationen gleich an die Hand gibt. Bedenkliche Elemente lassen sich isolieren. Noch im Beta-Stadium befindet sich F-Secures Blacklight. Ähnlich dem Hook Analyzer vergleicht es High-Level- mit Low-Level-APIs, blendet allerdings harmlose Einträge aus und stiftet so nicht unnötig Verwirrung.

Win Patrol prüft das System in Minuten-Abständen auf Änderungen. Die Plus-Version bietet Echtzeit-Überwachung und sorgt dafür, dass sich neuartiger Schadcode gar nicht erst einnistet, den man sich auf Streifzügen durch das Web oder über eingehende Mails einfängt. Wer im Bereich Prozesse und Dienste schon etwas bewandert ist, dem wird der Security Task Manager eine große Hilfe sein. Eine Risiko-Punktebewertung verrät, ob ein Prozess kritische Funktionen aktiviert oder andere verdächtige Eigenschaften enthält.

Der Advanced Spyware Remover kann rund 20.000 bekannte Trojaner und Hijacker, Spyware oder Adware vorn vornherein blockieren. Seinem Prozess-Scanner entgeht Adware selbst dann nicht, wenn sie sich nach dem Rootkits-Prinzip unsichtbar macht. Doch auch für akuten Befall hält er Lösungen bereit. a² Personal schließlich erkennt 25.000 Bedrohungen über eine Datenbank, enthält aber auch einen Hintergrundwächter, der jedes Programm, noch bevor es aktiv wird, auf der Festplatte auf verdächtiges Verhalten überprüft und – falls nötig – am Start hindert. Dem Programm ging bereits das Sony Rootkit ins Netz, das den CD-Kopierschutz DRM neugierigen Blicken entzog.