Rootkits gehören zu den bösartigsten Formen von Malware, die es gibt: Schon ihre Definition weist daraufhin, dass sie das Innerste des Computersystems (den „Root“-Bereich) infizieren, um ihn vollständig unter Kontrolle zu bringen und einen Remote-Zugriff zu ermöglichen. Hier zeigen wir, wie Sie Rootkits erkennen können und wie spezielle Sicherheitssoftware Ihnen helfen kann, Ihre Geräte wirksamer zu schützen.
Ein Rootkit ist eine Anwendung, die sich tief in das Dateisystem einnistet und einem Außenstehenden ohne Ihr Wissen uneingeschränkte Kontrolle über Ihren Computer gibt. Rootkits verbergen sich in den tiefsten Schichten des Betriebssystems, wo sie für gängige Anti-Malware-Scans fast nicht zu finden sind.
Woher kommt der Name „Rootkit“ und seine Definition? In den Betriebssystemen Unix und Linux wird der Account mit uneingeschränkten Rechten (ähnlich dem Administratorkonto in Windows) als „Root“ bezeichnet. Ein Kit, das uneingeschränkten Zugriff auf einen Computer oder ein Mobilgerät ermöglicht, ist somit ein Rootkit. Es ermöglicht anderen die Kontrolle über Ihr Gerät per Fernzugriff, ohne dass Sie davon wissen.
Rootkits geben Hackern den Remote-Zugriff auf Ihren Computer. Diese können dann die Kontrolle über Ihr System übernehmen und so viele Informationen abgreifen, wie sie wollen. Mithilfe des Rootkits kann ein Hacker persönliche Daten und Finanzinformationen stehlen, Malware installieren oder Ihren Computer in ein Botnet einbinden, um Spam zu verbreiten oder an DDoS-Angriffen (Distributed Denial-of-Service) teilzunehmen.
Ein Rootkit ist kein Virus, denn ein Virus verbreitet Kopien seiner selbst, um ein System zu beschädigen. Ein Rootkit reproduziert sich nicht. Es kann Ihre Daten stehlen und die Kontrolle übernehmen, ohne dass dies je mit einer bösen Absicht verbunden wäre.
Rootkits sind zwar keine Viren, aber ein Antivirenprogramm kann dennoch helfen, sie aufzuspüren und zu blockieren. Installieren Sie AVG AntiVirus FREE als erste Verteidigungslinie gegen bösartige Rootkits und viele andere Arten von Bedrohungen.
Ja, ein Rootkit ist eine Form von Malware (kurz für für „malicious software“, deutsch: bösartige Software), eigens dazu entwickelt, Zugriff mit Administratorrechten auf Ihr System zu gewähren. Rootkits werden oft eingesetzt, um Ihnen auf andere Weise Schaden zuzufügen, etwa um Daten zu stehlen, Ihren Computer zu beschädigen, Lösegelder zu fordern oder dessen Ressourcen aufzubrauchen.
Andere Beispiele für Malware sind Viren, Trojaner, Spyware, Würmer und Ransomware. Genau wie diese Arten von Malware müssen auch Rootkits oft manuell entfernt werden.
Rootkits stammen von dubiosen Dateien, die Sie versehentlich herunterladen, wenn Sie auf eine solche infizierte Datei klicken. Diese Dateien enthalten verborgene Anweisungen, die Veränderungen auf Ihrem Computer bewirken. Eine infizierte Datei kann den Kernel – den tiefsten Bereich Ihres Betriebssystems – modifizieren und dort ein Rootkit ablegen.
Ein Rootkit dringt normalerweise als Bestandteil einer kombinierten Bedrohung in Ihr Betriebssystem ein, die sich aus drei Schadcode-Komponenten zusammensetzt: einem Dropper, einem Loader und dem Rootkit. Diese Komponenten wirken zusammen und verschaffen dem Remote-Angreifer ohne Ihr Wissen den Zugriff auf Ihren PC.
Hier beschreiben wir genauer, wie ein Rootkit sich auf Ihrem Computer einnistet:
Sie klicken auf einen infizierten Link.
Der infizierte Link befindet sich möglicherweise in einer dubiosen E-Mail oder auf einer infizierten Website. Selbst wenn Sie die Datei nicht speichern, wird sie dennoch in Ihren temporären Dateien abgelegt und startet den Dropper.
In die Datei ist ein bösartiges Skript eingebettet.
Der Dropper führt den Schadcode aus, der Ihre Sicherheitsmaßnahmen umgeht.
Das Skript führt einen Exploit auf Ihrem Computer aus.
Der Dropper aktiviert den Loader und löscht sich anschließend selbst. Der Loader führt verschiedene Schritte aus, um das Rootkit in das System einzuschleusen. Dies geschieht normalerweise über einen Pufferüberlauf, eine Ausführungsmethode, die den Computer mit Anweisungen überfrachtet, sodass eine Obergrenze überschritten wird, und anschließend Anweisungen an bestimmte Speicherorte weitergeleitet werden.
Das Skript schleust Schadcode in sensible Bereiche ein.
Ein Teil des Datenüberlaufs gelangt in die kritischen Bereiche des Betriebssystems – der Pufferüberlauf „verwirrt“ den Computer, wodurch Werte an Stellen geändert werden, wo dies nicht geschehen dürfte. Dies wiederum öffnet ein „Hintertürchen“ für die eigentliche Nutzlast des Rootkits.
Der Schadcode gewährt Remote-Zugriff.
Der Code des Rootkits führt Aktionen auf Administratorebene durch, ohne dass die sonst üblichen Sicherheitsprüfungen durchgeführt werden, wobei er Berechtigungen ändert und einem Remote-Benutzer Zugriff gewährt.
Ein Hacker infiziert Ihren Computer mit einem Dropper, einem Loader und schließlich dem Rootkit.
Es gibt verschiedene Möglichkeiten, wie sich Rootkits verbreiten. Dazu gehören unter anderem:
Verdächtige Links in Phishing-E-Mails
Trojaner oder andere Malware
Fehlerhafte, „korrupte“ Software-Downloads von nicht-offiziellen Websites
Schadanwendungen, die sich an legitime Downloads anhängen
Raubkopierte Mediendateien wie Filme, PDFs, E-Books usw.
Browser-Plugins oder Add-ons, die angeblich Funktionen hinzufügen
Wenn Sie beim Herunterladen und Installieren von Software und beim Öffnen von Anhängen besonnen vorgehen, sollte kein Rootkit es schaffen, sich auf Ihrem Computer einzunisten. Wie immer gilt: Zu Ihren besten Verteidigungsmaßnahmen gehört Ihr gesunder Menschenverstand.
Die Ausführung einer Startzeit-Prüfung, wie sie im Rootkit-Scanner-Tool von AVG enthalten ist, ist eine wirksame Methode, Rootkits zu erkennen. Diese Scans suchen nach Rootkits und anderer Malware, bevor das Betriebssystem vollständig geladen wurde. Die Suche nach einer Rootkit-Infektion könnte sich empfehlen, wenn Sie ungewöhnliche Veränderungen im System oder einen unerklärlichen Anstieg des Netzwerkverkehrs bemerken.
Rootkits können sich der Entdeckung entziehen, insbesondere, indem sie für einfache, integrierte Anti-Malware-Tools unsichtbar bleiben. Der Grund dafür ist, dass Rootkits darauf ausgelegt sind, die grundlegenden, in der Software Ihres Computers integrierten Sicherheitsfunktionen zu ändern.
In diesem Fall ist möglicherweise zusätzliche eine Speicherabbild-Analyse erforderlich. Ein Speicherabbild ist eine Momentaufnahme sämtlicher Daten, die Ihr Computer zu diesem Zeitpunkt nutzt. Diese Analyse kann ein Verhalten aufzeigen, das eigentlich nicht existieren sollte, darunter die Symptome eines Rootkits.
Rootkits sind Meister der Tarnung. Das heißt, in manchen Fällen müssen Sie nach Symptomen Ausschau halten und dann von Fall zu Fall entscheiden, ob eine Speicherabbild-Analyse nötig ist.
Zu den Anzeichen für ein Rootkit gehören:
Häufiges Auftreten von Windows-Fehlermeldungen oder Bluescreen of Death
Ständige Aufforderungen, den PC neu zu starten
Ungewöhnliches Browserverhalten wie eine Umleitung von Links in Google
Unbekannte Lesezeichen
Der Computer verhält sich träge
Der Rechner hängt sich auf oder Sie bemerken ein seltsames Verhalten von Maus oder Tastatur
Fehlfunktionen auf Webseiten oder der Netzwerkaktivität aufgrund übermäßigen Netzwerkverkehrs
Scheinbar zufällige Änderungen der Windows-Einstellungen ohne Ihre Erlaubnis
Bevor Sie jedoch Rootkits vermuten und unnötige Analysen durchführen, sollten Sie andere Probleme wie eine unbrauchbar werdende Festplatte, ein unaufgeräumtes Dateisystem oder eine Malware-Infektion anderer Art ausschließen. Falls nach wie vor Probleme bestehen, ist möglicherweise wirklich ein Rootkit vorhanden.
Zum Entfernen von Rootkits ist normalerweise ein spezielles Tool erforderlich. Da Rootkits das Betriebssystem selbst manipulieren, können Sie sich für diese Aufgabe nicht auf integrierte Sicherheitsfunktionen verlassen. Sie benötigen die Software eines Drittanbieter, die bis dorthin vordringen kann, wo sich das Rootkit eingenistet hat.
Antivirus-Software basiert auf „Signaturen“, d. h. auf bekannten Verhaltensmustern, die auf Malware hinweisen. Diese werden laufend entsprechend den neuesten Erkenntnissen über Viren aktualisiert. Wir empfehlen daher, regelmäßig Scans durchzuführen. Beachten Sie, dass ein Rootkit-Scan normalerweise länger dauert als ein normaler Malware-Scan und dass Sie den Computer nicht verwenden können, während der Scan läuft.
So entfernen Sie ein Rootkit von Ihrem PC:
Installieren Sie eine vertrauenswürdige Antivirus-Software wie beispielsweise AVG Antivirus FREE, die einen Rootkit-Scanner und ein Tool zum Entfernen enthält.
Führen Sie eine Startzeit-Prüfung durch, um nach Rootkits zu suchen, bevor das Windows-Betriebssystem geladen werden kann.
Folgen Sie den Anweisungen auf dem Bildschirm, um den Entfernungsvorgang zu starten.
Falls die Antivirus-Software das Rootkit nicht vollständig entfernen kann, können Sie Ihre Festplatte neu formatieren. Dabei wird der gesamte Inhalt vollständig gelöscht. Greifen Sie also auf dieses Mittel nur zurück, wenn es keine anderen Möglichkeiten gibt. Denken Sie zuvor daran, für alles Nötige ein Backup zu erstellen. In sehr seltenen Fällen kann ein Rootkit im BIOS verbleiben und lässt sich auf keinerlei Weise entfernen. Konsultieren Sie in solchen Fällen einen Spezialisten.
Rootkit-Typen unterscheiden sich darin, wie viel Systemzugriff sie haben, auf welche Bereiche des Systems sie sich auswirken und wie gut sie sich verbergen. Die folgende Übersicht beschreibt gängige Typen von Rootkits und die Unterschiede zwischen ihnen:
Kernelmodus-Rootkits agieren im Kern eines Betriebssystems (Kernel-Ebene) und verursachen häufige Systemabstürze. Auf diese Weise können die Supportmitarbeiter von Microsoft oft erkennen, dass der Rechner eines Opfers mit einem Rootkit infiziert wurde.
Der Angreifer nutzt zunächst das System des Benutzers aus, indem er Malware in den Kernel einschleust, wodurch Systemanfragen abgefangen, eigene Daten hinzugefügt und sämtliche von der Malware zurückgelieferten Daten gefiltert werden, die dazu führen könnten, dass das Rootkit erkannt wird. Kernel-basierte Malware kann dazu eingesetzt werden, Spuren zu verwischen und Bedrohungen sowohl im Kernel als auch in Komponenten im Benutzermodus zu tarnen.
User-Mode-Rootkits werden entweder ganz normal beim Systemstart ausgeführt oder über einen Dropper ins System eingeschleust. Sie bieten ähnliche Funktionen wie Kernelmodus-Rootkits, wie das Tarnen und die Deaktivierung des Zugriffs auf Dateien, doch sie agieren auf der Benutzerebene. User-Mode-Rootkits sind nicht so unauffällig wie Kernelmodus-Rootkits, doch aufgrund ihrer einfachen Implementierung sind sie viel weiter verbreitet.
User-Mode-Rootkits sind beliebt bei Malware zur finanziellen Bereicherung. Carberp, das zu den am häufigsten kopierten Varianten von Malware zur finanziellen Bereicherung gehört, da sein Quellcode online geleakt wurde, wurde zum Entwenden von Banking-Anmeldedaten und anderer sensibler Daten der Opfer entwickelt. Nehmen Sie sich vor E-Mail-Spam in Acht, in dem von Zahlungsaufforderungen und Rechnungen die Rede ist.
Hybrid-Rootkits stellen eine Kombination der Eigenschaften von User-Mode-Rootkits und Kernelmodus-Rootkits dar. Unter Hackern ist dieser Rootkit-Ansatz aufgrund der hohen Erfolgsquote beim Eindringen in Computer besonders beliebt.
Bootloader-Rootkits greifen die Komponenten Ihres Computers an, indem sie den Master Boot Record infizieren, einem essentiellen Bestandteil, der den Rechner anweist, wie er das Betriebssystem zu laden hat.
Firmware-Rootkits sind eine raffinierte Form von Malware, die sich beim Herunterfahren in einer Firmware – beispielsweise einem Mikroprozessor oder Router – verstecken kann. Beim Neustart des Computers installiert sich das Rootkit erneut.
Virtual Machine Based Rootkits übertragen ein Betriebssystem in eine virtuelle Umgebung, sodass das Rootkit mitsamt der virtuellen Umgebung entweder gar nicht oder nur sehr schwer aufgespürt werden kann. Die sogenannten Virtual Machine Based Rootkits (VMBRs) werden eine Ebene unterhalb des eigentlichen Betriebssystem eingespielt und führen das Betriebssystem anschließend als virtuelle Maschine aus. Somit bleiben VMBRs unerkannt, es sei denn, es werden spezielle Tools verwendet, um nach dieser Art von Rootkit zu suchen.
Anwendungs-Rootkits modifizieren normale Dateien und werden nur aktiviert, wenn eine bestimmte Anwendung ausgeführt wird. Für Sie scheint die Anwendung ganz normal zu laufen. Das Rootkit hat sich allerdings im Hintergrund Geräteberechtigungen verschafft und ermöglicht es einer anderen Person, auf Ihrem Computer zu tun, was immer sie will.
Arbeitsspeicher-Rootkits befinden sich im RAM, der bei jedem Neustart des Computers geleert wird. Solche Rootkits sind daher nur für kurze Zeit wirksam. Sie sind jedoch ebenso gut getarnt wie andere und nicht weniger fähig, Schaden anzurichten. Sie können verwendet werden, um Ihre Ressourcen aufzubrauchen und als Teil eines Botnets Malware zu verbreiten.
Die folgende Übersicht zeigt einige verbreitete Rootkit-Beispiele, von den Anfängen bis heute:
Das erste Rootkit (1990): Das erste schriftlich belegte Rootkit wurde von Stevens Dake und Lane Davis im Auftrag von Sun Microsystems für das Unix-Betriebssystem SunOS entwickelt.
Greek Watergate (2004–2005): Ein Rootkit, das die AXE-Vermittlungsstellen von Ericsson im griechischen Vodafone-Netzwerk infizierte und darauf abzielte, die Telefone von griechischen Regierungsvertretern abzuhören.
Kopierschutz-Rootkit von Sony BGM (2005): Sony BMG installierte heimlich Rootkits auf Millionen von Musikträgern, um seine Käufer davon abzuhalten, die CDs mithilfe ihrer Computer zu kopieren und auf Rohlinge zu brennen. Außerdem hat das Rootkit das Unternehmen über die Aktivitäten seiner Kunden unterrichtet. Es hat unbeabsichtigt der unbemerkten Infiltrierung von Windows-PCs durch andere Arten von Malware Tür und Tor geöffnet.
Zeus (2007): Zeus ist ein trojanisches Pferd zum Stehlen von Anmeldedaten – dieses Rootkit wurde genutzt, um Online-Banking-Daten über einen Man-in-the-Browser-Angriff inkl. Keylogger und Aufzeichnung von Webformularen zu entwenden.
NTRootkit (2008): NTRootkit gehört zu den ersten bösartigen Rootkits für Windows. Es gibt verschiedene Versionen mit unterschiedlicher Wirkung. Eine davon war mit einem Keylogger (dt. „Tasten-Protokollierer“) ausgestattet, der es Hackern ermöglichte, Daten wie Benutzernamen und Passwörter herauszufinden, um somit auf sensible Dienste zugreifen zu können.
Machiavelli (2009): Machiavelli war das erste Rootkit, das Mac OS X ins Visier nahm. Es erstellte verborgene Systemaufrufe und Kernel-Threads.
Stuxnet (2010): Stuxnet) war das erste bekannte Rootkit für industrielle Kontrollsysteme.
Flame (2012): Flame Diese Computer-Malware greift Windows-Computer an, ist mit einem Keylogger ausgestattet, kann Tastaturanschläge mitschneiden, Screenshots und Audio-Aufnahmen erstellen, den Netzwerkverkehr aufzeichnen und vieles mehr.
LoJax (2018): LoJax ist ein Firmware-Rootkit, das auch nach einer Windows-Neuinstallation und Festplattenformatierung erhalten bleiben kann.
Scranos (2019): Dieses Rootkit versucht, sich Zugriff auf Ihre persönlichen Daten zu verschaffen, indem es Zahlungsmethoden aus Ihrem Browser extrahiert. Scranos nutzt darüber hinaus die Ressourcen des Computers, um Klicks zu erzeugen und dadurch künstlich Aufrufe für Videos auf YouTube zu generieren, um Geld zu verdienen.
CosmicStrand (2022): Dieses Firmware-Rootkit ist so schwer zu erkennen, dass Cybersicherheitsexperten nicht sicher sind, wie es überhaupt auf Computer gelangen konnte. Es könnte sogar Versionen von CosmicStrand geben, die noch nicht gefunden wurden. Es wurde hauptsächlich gegen prominente Ziele eingesetzt, nicht gegen durchschnittliche Computerbenutzer.
BlackLotus (2022): BlackLotus trat 2022 erstmals in Erscheinung und ist fähig, in vollständig gepatchte Versionen von Windows 11 mit Secure Boot-Funktion einzudringen.
Zeitleiste mit einigen der bekanntesten Rootkit-Angriffe.
Sie können durch wirksame Antivirus-Software und durch das Einhalten der Prinzipien für Website-Sicherheit zu Ihrem Schutz vor Rootkits beitragen. Gesunder Menschenverstand bei der Internetnutzung wächst mit der Zeit. In der Zwischenzeit können Ihnen folgende Faustregeln helfen, sich vor Rootkits und anderen Bedrohungen zu schützen:
Öffnen Sie keine E-Mail-Anhänge von unbekannten Absendern.
Laden Sie keine unbekannten Dateien herunter und klicken Sie nicht auf verdächtige Links.
Sorgen Sie dafür dasss Ihre Software stets vor bekannten Sicherheitslücken geschützt ist, indem Sie die Updates installieren, sobald diese verfügbar werden.
Seien Sie vorsichtig beim Herunterladen und Installieren neuer Software, wobei Sie darauf achten, dass es sich um legitime Software handelt und die Endbenutzer-Lizenzvereinbarung nichts Verdächtiges enthält.
Seien Sie beim Umgang mit externen Festplatten und USB-Sticks nicht leichtsinnig und schließen Sie keine unbekannten Datenträger an.
Scannen Sie Ihr System regelmäßig auf Malware.
Laden Sie Anwendungen und Software ausschließlich aus vertrauenswürdigen Quellen, von offiziellen Websites und lizenzierten App-Stores herunter.
Achten Sie auf ungewöhnliche Veränderungen in der Rechner-Performance.
Die Strategien, die Ihnen helfen, Rootkits zu vermeiden, sind zugleich vernünftige Gewohnheiten zum Schutz Ihres digitalen Lebens. Eine noch wirksamere Verteidigung gegen Rootkits erhalten Sie durch die Installation einer robuster Antivirus-Software wie AVG AntiVirus FREE.
AVG AntiVirus Free scannt Ihr gesamtes System auf Malware, vom Browser bis zur Root-Ebene des Betriebssystems. Es hilft Ihnen darüber hinaus, einige der heimtückischsten und in den Tiefen des Systems verborgenen Malware zu finden. Und es bietet selbstverständlich wirksamen Schutz, damit es möglichst erst gar nicht zu einer Rootkit-Infektion kommt.
Privatsphäre | Schwachstelle melden | Sicherheitsabteilung kontaktieren | Lizenzvereinbarungen | Erklärung zur modernen Sklaverei | Cookies | Erklärung zu Bedienhilfen | Keine Veräußerung meiner Daten | | Impressum | Alle Marken Dritter sind Eigentum der jeweiligen Inhaber.
