Was sind Rootkits?
Rootkits sind im Grunde nichts Neues. Es gibt Sie seit Jahren. Aber erst Ende 2005 sind diese besonderen “Anwendungen” ins Licht der Medien, der Öffentlichkeit und damit der User – und leider auch der Viren-Programmierer gelangt. Rootkits können sich auf dieselbe Art im System installieren, wie jeder andere Schädling auch. Rootkits können sämtliche Funktionen jeder anderen Spyware, Trojaner und sonstiger Schädlinge enthalten, aber mit dem Unterschied, dass das Rootkit alle Programmdateien, Einträge in der Registrierdatenbank und alle sonstigen Hinweise im System auf die eigene Anwesenheit verbirgt. Meist derart gut, dass selbst Windows® nicht “weiss”, dass das Rootkit überhaupt installiert ist und gerade läuft. Aus diesem Grund finden auch die meisten Antispyware und viele Antiviren-Tools keine Rootkits. Sie können einfach die Programmdateien, Einträge und Prozesse des Rootkits nicht finden im System und damit auch nicht scannen. |
Was ist der Unterschied zwischen Rootkits und Spyware?
Normale Spyware und Trojaner sind meist eine infizierte EXE-Datei welche ganz normal im Explorer zu sehen ist und damit von Spyware-Scannern gefunden werden kann. Aber bei Rootkits sind die entsprechenden Programmdateien weder im Explorer, noch in allen anderen Anwendungen zu sehen oder zu finden. Ebenso verhält es sich mit dem laufenden Prozess den das Rootkit belegt – dieser taucht nicht im Taskmanager oder in den meisten anderen Tools dieser Art auf. Für Windows®, Anwendungen und den Benutzer ist scheinbar alles normal und es gibt keinen Hinweis auf einen installierten Schädling. Rootkits bringen oftmals Mittel mit, um eine versteckte Hintertür (Backdoor) zu öffnen, welche dem Rootkit-Entwickler vollen Zugriff auf Ihren Computer erlaubt solange Sie online sind. Oft werden auch alle Tastatureingaben protokolliert – wobei besonders interessant EMail-Adressen, Kontonummern, Passwörter und Kreditkartennummern sind. Diese gesammelten Daten könnten dann irgendwann vom “Hersteller” des Rootkits abgefragt werden – ohne dass Sie es bemerken. |
Das Entfernen von Rootkits…
Die besondere Gefahr bei Rootkits liegt nicht nur darin, dass diese sehr schwer zu entdecken sind. Sie sind vor allen Dingen noch schwerer zu entfernen – ganz erheblich schwerer als normale Schädlinge. Oftmals starten Rootkits auch im abgesicherten Modus und/oder tarnen sich als Teil eines gewöhnlichen Systemtreibers. Wenn diese Objekte entdeckt werden, können diese meist nicht beendet werden, da Sie gerade aktiv sind und/oder sich dagegen “wehren” . Daher ist zum Entfernen von Rootkits manchmal eine bootfähige CD notwendig welche z.B. eine bootfähige Linux-Installation oder andere Tools dieser Art enthalten sollten. Damit können Sie dann diese Objekte auf Ihrer Festplatte suchen, während Windows® nicht geladen ist. Beachten Sie dabei bitte, dass der Name, der bei Rootkit-Prozessen angezeigt wird, oftmals auch der Dateiname der infizierten Datei ist. Eine Suche danach sollte daher meist Erfolg bringen. |
Suche durchführen…
Um die Suche nach Rootkits durchzuführen, drücken Sie bitte auf Suchen. Falls ein Rootkit gefunden wird, zeigt Ashampoo Anti-Malware jedes einzelne Bestandteil des Rootkits angezeigt. Bei diesen Bestandteilen handelt es sich um einzelne Dienste, laufende Prozesse und Einträge in der Registrierungsdatenbank. Wenn Sie einen dieser Bestandteile auswählen, wird Ihnen darunter die entsprechende Auswahl angeboten, um diesen beenden zu können. |
|
Identifizierung über den Wächter…
Wurde ein Rootkit oder ein dazugehöriges Element durch den Wächter identifiziert, so erscheint folgender Dialog, der Ihnen detailiert den Dateinamen, die Art der Infektion und die Dateiherkunft zeigt. Genau wie bei durch den Wächter ermittelter Spyware oder Viren, haben Sie nun die Möglichkeit, die infizierte Datei entweder in Quarantäne zu verschieben, sie zuzulassen oder sie zu blockieren. |