Zum Hauptinhalt springen

Rootkit erklärt: Definition, Ursachen, Risiken, Erkennung, Entfernung

Veröffentlicht am:
.
12 Minuten Lesezeit
.
Für die Englische Version

Ein Rootkit ist eine Form von Malware, die entwickelt wurde, um Hackern Zugang zu einem Zielgerät zu verschaffen und die Kontrolle darüber zu übernehmen. Bestimmte Rootkits haben die Fähigkeit, nicht nur die Software und das Betriebssystem, sondern auch die Hardware und Firmware Ihres Computers zu infizieren. Rootkits sind geschickt darin, ihre Existenz zu verbergen, während sie gleichzeitig aktiv sind.

Rootkits verschaffen Hackern unbefugten Zugang zu Computern, wodurch sie finanzielle und persönliche Daten stehlen, Malware installieren oder Computer als Teil eines Botnets nutzen können, um Spam zu versenden und an DDoS-Angriffen (Distributed Denial of Service) teilzunehmen.

Der Begriff "Rootkit" stammt aus den Unix- und Linux-Betriebssystemen, wobei der Begriff "Root" sich auf den Administrator mit den größten Rechten bezieht. Das "Kit" bezieht sich auf die Software, die illegalen Root- oder Admin-Zugriff auf das Gerät ermöglicht.

In diesem Artikel werden wir die folgenden Themen über Rootkit besprechen:

  • Was ist ein Rootkit und wie unterscheidet es sich von anderen Arten von Malware?

  • Was sind die Risiken, wenn sich ein Rootkit auf Ihrem System befindet, und wie können Angreifer es nutzen?

  • Was sind einige der Anzeichen dafür, dass ein System möglicherweise mit einem Rootkit infiziert ist?

  • Wie erkennt und verhindert man Rootkits (Wie verteidigt man sich gegen Rootkits)?

  • Was sind Beispiele für Rootkit-Angriffe?

  • Was sind die Arten von Rootkits?

  • Was sind die Injektionsmethoden von Rootkits?

  • Wie entfernt man Rootkits?

  • Welche Werkzeuge können zur Entfernung von Rootkits verwendet werden?

Was ist ein Rootkit?

Ein Rootkit ist ein Stück Software, das von Hackern verwendet wird, um einen Zielcomputer oder ein Netzwerk zu übernehmen. Obwohl Rootkits häufig aus einer Gruppe von Programmen bestehen, die Hackern Administratorzugriff auf das Zielgerät ermöglichen, treten sie gelegentlich als einzelnes Softwarepaket auf. Es gibt mehrere Techniken, mit denen Hacker Rootkits auf Zielcomputern installieren können:

  • Phishing und andere Formen von Social-Engineering-Angriffen sind die häufigsten. Unwissentlich laden die Opfer Malware herunter und installieren sie, die Hackern Zugang zu fast jedem Teil des Betriebssystems verschafft, indem sie sich unter anderen Prozessen versteckt, die auf ihren Computern laufen.

  • Eine andere Methode besteht darin, den Rootkit auf die Maschine zu bringen, indem eine Schwachstelle ausgenutzt wird, die ein Fehler in der Software oder ein veraltetes Betriebssystem ist.

  • Darüber hinaus kann Malware zusammen mit anderen Elementen wie beschädigten Dokumenten, raubkopierten Filmen oder Programmen, die aus dubiosen Drittanbieter-App-Stores heruntergeladen wurden, verpackt sein.

Rootkits senden Befehle an den Computer, weil sie nahe am oder im Kernel des Betriebssystems operieren. Mit der Entwicklung des Internets der Dinge könnten Geräte wie Ihr Kühlschrank und Ihr Thermostat mögliche Ziele für Rootkits werden, da sie ein Betriebssystem verwenden.

Keylogger, die heimlich Ihre Tastenanschläge aufzeichnen, werden von Rootkits verborgen. Deshalb ist es für Cyberkriminelle einfach, Ihre persönlichen Daten, einschließlich Kreditkarten- oder Online-Banking-Informationen, zu erlangen. Rootkits geben Hackern die Möglichkeit, DDoS-Angriffe zu starten oder Spam-E-Mails von Ihrem Computer aus zu versenden. Sie haben sogar die Fähigkeit, Sicherheitssoftware zu deaktivieren oder zu löschen.

Bestimmte Rootkits werden aus rechtlichen Gründen eingesetzt, wie zum Beispiel zur Unterstützung der Strafverfolgung oder zur Bereitstellung von Remote-IT-Support. Dennoch werden sie typischerweise für böse Zwecke eingesetzt. Die verschiedenen Arten von Malware-Rootkits, die sich verbreiten, das Betriebssystem beeinträchtigen und entfernten Benutzern Administratorzugriff gewähren, machen sie so gefährlich.

Wie unterscheidet sich ein Rootkit von anderen Arten von Malware?

Die Unterschiede zwischen einem Rootkit und anderen Arten von bösartiger Software werden in diesem Abschnitt erklärt.

Ist ein Keylogger ein Rootkit?

Nein. Ein Rootkit ist ein Stück Computer-Code, das Ablenkungsstrategien mit bereits auf Ihrem System installierter Software verwendet, um Objekte, einschließlich sich selbst, zu verbergen. Obwohl sie damit verbunden sind, sind Backdoors, Keylogger und Schwachstellen keine Rootkits. Um auf Ihren Computer zuzugreifen, könnte ein Rootkit einen Exploit (oder, um genau zu sein, Social Engineering oder direkte Angriffe) verwenden. Sobald es dort ist, kann es einen Keylogger, eine Hintertür oder eine Vielzahl anderer Dinge verbergen.

Ist ein Rootkit Malware oder ein Virus?

Entgegen der allgemeinen Meinung ist Malware das, was ein Rootkit ist, anstatt eines Virus. In der Tat, das mag verwirrend erscheinen. Ein Rootkit ist eine weitaus ausgeklügeltere Form von Malware als ein Virus, der nur Daten beschädigt. Glücklicherweise kann moderne Antivirensoftware eine Vielzahl von Malware entfernen, von Viren und Würmern bis hin zu Ransomware, Trojanern und sogar bestimmten Rootkits, indem sie fortschrittliche Schutzansätze wie Verhaltensheuristiken nutzt.

Ist ein Trojaner ein Rootkit?

Ein Rootkit ist eine Gruppe von bösartigen Programmen, die Netzwerkadministratoren Zugang verschafft. Ein Trojanisches Pferd ist eine Art von Malware, die wichtige Daten aus einem Computernetzwerk oder -system sammelt. Das Hauptziel eines Rootkits ist es, Identifikationsinformationen zu stehlen, häufig um ein Gerät zu übernehmen. Der Diebstahl von Informationen ist das Hauptziel des Trojanischen Pferdes. Die Erkennung und Entfernung eines Rootkits sind schwierige Prozesse, die häufig den Einsatz spezialisierter Werkzeuge erfordern. Das Antivirenprogramm findet Trojaner.

Ist ein Rootkit Spyware?

Rootkit ist eine Sammlung von bösartiger Software, die Netzwerkadministratoren Zugang gewährt. Spyware ist eine Art von Programm, das entwickelt wurde, um Ihre persönlichen Informationen zu sammeln. Das Hauptziel eines Rootkits ist es, Identifikationsinformationen zu stehlen, häufig um die Kontrolle über eine Maschine zu übernehmen. Das Hauptziel der Spyware ist es, die Systemaktivitäten im Auge zu behalten. Das Auffinden und Entfernen eines Rootkits ist eine schwierige Aufgabe, die häufig den Einsatz spezieller Werkzeuge erfordert. Das Anti-Spyware-Tool kann Spyware finden und entfernen.

Was sind die Risiken, wenn sich ein Rootkit auf Ihrem System befindet, und wie können Angreifer es nutzen?

Einige mögliche Ergebnisse eines Rootkit-Angriffs sind die unten aufgeführten:

  • Verursacht eine Malware-Infektion: Ein Rootkit platziert schädliche Software, einschließlich Viren, Trojanern, Würmern, Ransomware, Spyware, Adware und anderen destruktiven Programmen, auf einem Computer, System oder Netzwerk, wodurch die Funktionalität des Geräts oder die Privatsphäre seiner Daten gefährdet wird.

  • Entfernt Dateien: Rootkits fügen sich über eine Hintertür in ein System, Netzwerk oder Gerät ein. Dies geschieht während des Logins oder ist die Folge eines Sicherheits- oder Betriebssystemsoftwarefehlers. Sobald es drinnen ist, führt das Rootkit Programme aus, die Daten automatisch stehlen oder entfernen.

  • Erfasst persönliche Informationen: Keylogger, die Tastenanschläge ohne Zustimmung des Benutzers aufzeichnen, werden häufig von Rootkits verwendet, die als Payload-Rootkits bezeichnet werden. In anderen Fällen senden diese Rootkits Spam-E-Mails, die, wenn sie von den Empfängern geöffnet werden, die Rootkits installieren. In beiden Fällen entnimmt das Rootkit private Daten, einschließlich Kreditkartennummern und Informationen aus dem Online-Banking, die dann den Dieben übergeben werden.

  • Stiehlt private Informationen: Rootkits führen Malware in Systeme, Netzwerke und Computer ein, die nach vertraulichen und sensiblen Daten sucht, in der Regel mit der Absicht, die Informationen zu verkaufen oder sie unbefugten Dritten offenzulegen. Rootkits sammeln vertrauliche Daten über Keylogger, Screen Scraper, Spyware, Adware, Backdoors und Bots, unter anderem Techniken.

  • Ändert die Systemeinstellungen: Nachdem ein Rootkit Zugriff auf ein System, Netzwerk oder einen Computer erlangt hat, kann es die Einstellungen des Systems ändern. Es hat die Fähigkeit, einen Tarnmodus einzurichten, der es traditionellen Sicherheitswerkzeugen erschwert, es zu finden. Darüber hinaus haben Rootkits die Fähigkeit, einen dauerhaften Zustand zu entwickeln, der es schwierig oder unmöglich macht, sie zu entfernen, selbst nach einem Systemneustart. Ein Rootkit hat die Fähigkeit, Sicherheitsberechtigungen zu ändern, um den Zugriff zu ermöglichen oder einem Angreifer fortgesetzten Zugriff zu gewähren.

Was sind die Anzeichen dafür, dass ein System mit einem Rootkit infiziert ist?

Mögliche Warnindikatoren für Rootkit-Malware sind wie folgt:

  • Bluescreen: Die Notwendigkeit, Ihren Computer häufig neu zu starten, während Sie viele Windows-Fehlermeldungen oder blaue Bildschirme mit weißer Schrift sehen (manchmal als "den blauen Bildschirm des Todes" bekannt).

  • Seltsame Aktionen im Webbrowser: Unbekannte Lesezeichen oder Link-Weiterleitungen sind Beispiele dafür.

  • Leistungsprobleme des Geräts: Ihr Gerät kann langsam starten, langsam arbeiten oder häufig einfrieren. Außerdem könnte es nicht auf Eingaben von der Tastatur oder Maus reagieren.

  • Windows-Einstellungen werden ohne Genehmigung geändert: Beispiele sind, dass sich die Taskleiste versteckt, sich der Bildschirmschoner ändert oder das falsche Datum und die falsche Uhrzeit angezeigt werden, selbst wenn Sie nichts verändert haben.

  • Webseiten funktionieren nicht richtig: Aufgrund des hohen Netzwerkverkehrs können Webseiten oder Netzwerkaktivitäten inkonsistent aussehen oder nicht richtig funktionieren.

Wie erkennt und verhindert man Rootkits?

Das Auffinden des Rootkits auf einem Computer ist eine Herausforderung, da diese Rootkit-Malware speziell dafür entwickelt wurde, verborgen zu bleiben. Der Prozess wird dadurch erschwert, dass Rootkits Sicherheitssoftware deaktivieren. Deshalb kann Rootkit-Malware lange auf Ihrem Computer bleiben und ernsthaften Schaden anrichten.

Der beste Ansatz zur Auffindung einer Rootkit-Infektion ist das Durchführen eines Rootkit-Scans, den Ihr Antivirenprogramm durchführen kann. Das Herunterfahren des Computers und das Ausführen des Scans von einem bekannten, sauberen System aus sind zwei Möglichkeiten, die Infektion zu finden, wenn Sie vermuten, dass ein Rootkit-Virus vorhanden sein könnte.

Eine weitere Technik zur Identifizierung von Rootkits ist die Verhaltensanalyse. Dies bedeutet, dass Sie nach rootkit-ähnlichem Verhalten suchen, anstatt nach dem eigentlichen Rootkit. Eine Verhaltensanalyse kann ein Rootkit erkennen, bevor Sie bemerken, dass Sie angegriffen werden, im Gegensatz zu gezielten Scans, die effektiv sind, wenn Sie bemerken, dass das System sich seltsam verhält.

Es ist wichtig, vorsichtig zu sein, wenn man das Internet nutzt oder Software installiert, da Rootkits schädlich und schwer zu entdecken sein können. Mehrere der gleichen Vorsichtsmaßnahmen, die Sie ergreifen, um Computerviren zu vermeiden, helfen auch, das Risiko von Rootkits zu verringern:

  • Implementieren Sie ein umfassendes Cybersicherheitsprogramm: Installieren Sie ein vollständiges und hochmodernes Antivirenprogramm auf all Ihren Geräten, um proaktiv deren Schutz zu gewährleisten.

  • Immer auf dem neuesten Stand bleiben: Regelmäßige Software-Updates sind entscheidend für die Aufrechterhaltung Ihrer Sicherheit und das Vermeiden von Malware-Infektionen durch Hacker. Halten Sie alle Ihre Software und Ihr Betriebssystem auf dem neuesten Stand, um Rootkit-Angriffe zu verhindern, die Sicherheitslücken ausnutzen.

  • Phishing-Betrügereien erkennen: Phishing ist eine Art von Social-Engineering-Angriff, bei dem Betrüger E-Mails verwenden, um Opfer dazu zu bringen, ihre finanziellen Informationen preiszugeben oder schädliche Software, einschließlich Rootkits, herunterzuladen. Vermeiden Sie es, auf Links in seltsamen E-Mails zu klicken, insbesondere wenn der Absender Ihnen unbekannt ist, um zu verhindern, dass Rootkits Zugriff auf Ihren Computer erhalten. Klicken Sie niemals auf einen Link, wenn Sie nicht überzeugt sind, dass er zuverlässig ist.

  • Holen Sie sich immer Materialien von seriösen Quellen: Um zu verhindern, dass ein Rootkit auf Ihrem Computer installiert wird, seien Sie vorsichtig beim Öffnen von Anhängen und vermeiden Sie es, Anhänge von unbekannten Personen zu öffnen. Laden Sie Software immer von vertrauenswürdigen Websites herunter. Wenn Ihr Webbrowser Sie warnt, dass eine Website, auf die Sie zugreifen möchten, gefährlich ist, ignorieren Sie dies nicht.

  • Achten Sie darauf, wie sich Ihr Computer verhält oder funktioniert: Problematisches Verhalten ist ein Zeichen dafür, dass ein Rootkit aktiv ist. Achten Sie auf plötzliche Änderungen und versuchen Sie, deren Ursache zu bestimmen.

Abbildung 1. Wie man Rootkits erkennt und verhindert

Was sind Beispiele für Rootkit-Angriffe?

Hier sind einige Beispiele für Rootkit-Angriffe:

  • Sony BMG Rootkit: Sony BMG benötigte im Jahr 2005 eine Lösung, nachdem jahrelange rückläufige Musikumsätze durch das Aufkommen von Napster und anderen Musikpiratenplattformen verursacht worden waren. Sie setzten eine Reihe von Anwendungen ein, um CD-Kopier-Software zu blockieren, um es schwieriger zu machen, Musik von CDs auf Computer zu übertragen. Sicherheitsexperten kategorisierten diese Anwendungen als Rootkits, weil sie sich vor Benutzern und dem Betriebssystem versteckten.

  • Stuxnet: Stuxnet, ein gefährlicher Computerwurm, der 2010 entdeckt wurde und seit 2005 in Entwicklung gewesen sein soll, ist eines der bekanntesten Rootkits in der Geschichte. Das iranische Atomprogramm erlitt durch Stuxnet schweren Schaden. Obwohl keine der beiden Nationen die Verantwortung übernahm, wird allgemein angenommen, dass es sich um eine Cyberwaffe handelte, die gemeinsam von den USA und Israel im Rahmen der Olympischen Spiele entwickelt wurde.

  • Duqu: Eine Gruppe von Computer-Malware, bekannt als Duqu, wurde am 1. September 2011 entdeckt, und laut Kaspersky-Laboratorien steht sie in Verbindung mit dem Stuxnet-Wurm und wurde von der Einheit 8200 entwickelt. Die Zero-Day-Schwachstelle in Microsoft Windows wurde von Duqu ausgenutzt. Die Gefahr wurde identifiziert, die Malware wurde untersucht, und ein 60-seitiger Bericht wurde vom Labor für Kryptographie und Systemsicherheit (CrySyS Lab) der Technischen und Wirtschaftswissenschaftlichen Universität Budapest verfasst, der die Bedrohung Duqu nannte. Der Name stammt von dem Präfix "DQ", das Duqu den Namen der von ihm erzeugten Dateien hinzufügt.

  • Flame: Flame ist ein Rootkit, das laut Cybersicherheitsexperten erstmals 2012 im Nahen Osten für Cyber-Spionage eingesetzt wurde. Flame, auch bekannt als Flamer, sKyWIper und Skywiper, verändert das gesamte Betriebssystem eines Computers, sodass es Tastenanschläge aufzeichnen, den Datenverkehr überwachen und Screenshots sowie Audio aufnehmen kann. Forscher glauben, dass die Flame-Hacker 80 Server auf drei Kontinenten genutzt haben, um auf die betroffenen Maschinen zuzugreifen, obwohl diese noch nicht identifiziert wurden.

  • Necurs: Necurs tauchte erstmals 2012 als Rootkit auf, als es angeblich in 83.000 Infektionen gefunden wurde. Necurs wird aufgrund seiner technischen Komplexität und seiner Fähigkeit zur Evolution als herausragend angesehen und wird oft mit den geschicktesten Cyberkriminellen in Osteuropa in Verbindung gebracht.

  • ZeroAccess: ZeroAccess, ein Kernel-Modus-Rootkit, das mehr als 2 Millionen Maschinen weltweit betraf, wurde 2011 von Cybersicherheitsprofis entdeckt. Anstatt die Funktionsweise des infizierten Computers direkt zu verändern, lädt dieses Rootkit Malware herunter und installiert sie, wodurch es zu einem globalen Botnetz hinzugefügt wird, das von Hackern für Cyberangriffe genutzt wird. Heute wird ZeroAccess verwendet.

  • TDSS: Das TDSS-Rootkit wurde ursprünglich im Jahr 2008 entdeckt. Dies ist ähnlich wie bei Bootloader-Rootkits, da es in den frühen Phasen des Betriebssystems geladen und betrieben wird, was die Erkennung und Entfernung erschwert.

  • TDL-4: Alureon, auch bekannt als TDL-4, ist ein Trojaner und Rootkit, das entwickelt wurde, um Daten zu stehlen, indem es den Netzwerkverkehr eines Systems überwacht und nach sensiblen Benutzerdaten wie Sozialversicherungsnummern, Kreditkartennummern, PayPal-Informationen und Bank-Benutzernamen und -Passwörtern sucht. Alureon wurde nach einer Reihe von Kundenbeschwerden als Quelle einer Welle von BSoDs auf einigen 32-Bit-Microsoft-Windows-PCs identifiziert. Da das Update MS10-015 die Annahmen des Malware-Autors verletzte, verursachte es diese Abstürze.

  • Der griechische Abhörskandal: Das sogenannte griechische Watergate war ein massiver Abhörskandal, der 2005 zu Tage trat. Die Telefone hochrangiger griechischer Regierungsmitarbeiter und Beamter im Vodafone-Netzwerk wurden überwacht und aufgezeichnet. Unbekannte Angreifer installierten ein Rootkit, das Gespräche abhörte und Hintertüren im Netzwerk einrichtete, um heimlich weitere Abhöraktionen durchzuführen.

  • Zacinlo: Im Jahr 2012 tauchte der fiese Adware-Rootkit namens Zacinlo erstmals auf. Es begann, 2017 eine neue Rootkit-Komponente anzuzeigen, die es ihm ermöglichte, die Sicherheitsmaßnahmen von Windows 10 zu umgehen. Die meisten Opfer von Zacinlo befinden sich in den Vereinigten Staaten. Es scheint, dass die Rootkit-Funktion implementiert wurde, um dem Virus zu ermöglichen, so lange wie möglich unentdeckt auf den Computern zu bleiben. Es verhindert, dass mehrere Sicherheitsprogramme wie Malwarebytes, Panda und Symantec ausgeführt werden.

Was sind die Arten von Rootkits?

Verschiedene Arten von Rootkits sind unten aufgeführt:

  • Kernelmodus-Rootkits: Da sie die grundlegende Basis Ihres Betriebssystems angreifen, sind Kernel-Modus-Rootkits (d.h. auf Kernel-Ebene) eine der gefährlichsten Varianten dieser Bedrohung. Durch das Einfügen ihres eigenen Codes können Hacker nicht nur den Betrieb Ihres Betriebssystems verändern, sondern auch auf die Informationen auf Ihrem Computer zugreifen.

  • Bootloader-Rootkit: Das Betriebssystem auf einem Computer wird durch den Bootloader-Prozess geladen. Angriffe auf dieses System durch Bootloader-Rootkits führen dazu, dass der authentische Bootloader Ihres Computers durch einen kompromittierten ersetzt wird. Noch bevor das Betriebssystem Ihres Computers vollständig geladen ist, wird der Rootkit gestartet.

  • Speicher-Rootkit: Speicher-Rootkits verbergen sich im Arbeitsspeicher (RAM) Ihres Computers und nutzen dessen Ressourcen, um schädliche Prozesse im Hintergrund auszuführen. Memory Rootkits beeinträchtigen die RAM-Leistung Ihres Geräts. Memory-Rootkits verschwinden, sobald Sie das System neu starten, da sie nur im RAM existieren und keinen permanenten Code einfügen. Manchmal ist jedoch mehr Aufwand erforderlich, um sie zu entfernen. Aufgrund ihrer kurzen Existenz werden sie häufig nicht als ernsthafte Bedrohung angesehen.

  • Hardware- oder Firmware-Rootkit: Festplatten, Router und das BIOS Ihres Systems, das die Software ist, die auf einem kleinen Speicherchip im Motherboard Ihres Computers geladen wird, können alle von Hardware- oder Firmware-Rootkits betroffen sein. Um Malware zu installieren, der schwer zu erkennen ist, zielen sie auf die Firmware Ihres Geräts anstatt auf Ihr Betriebssystem. Sie ermöglichen es Hackern, Ihre Tastatureingaben zu sammeln und Ihr Internetverhalten zu überwachen, da sie Auswirkungen auf die Hardware haben. Obwohl seltener als andere Varianten, stellen Hardware- oder Firmware-Rootkits ein ernsthaftes Risiko für die Internetsicherheit dar.

  • Anwendungs-Rootkit: Anwendungs-Rootkits verändern sogar die Funktionsweise regulärer Apps, indem sie Standarddateien auf Ihrem Computer durch Rootkit-Dateien ersetzen. Programme wie Microsoft Word, Notepad oder Paint werden von diesen Rootkits infiziert. Jedes Mal, wenn Sie diese Apps verwenden, hat ein Angreifer Zugriff auf Ihren Computer. Während die Identifizierung von Rootkits für Benutzer schwierig ist, da infizierte Programme weiterhin ordnungsgemäß funktionieren, kann Antivirensoftware sie finden, da beide auf der Anwendungsschicht arbeiten.

  • Virtuelle Rootkits: Unter dem Betriebssystem der Maschine lädt sich ein virtueller Rootkit. Danach führt es die Zielbetriebssysteme als virtuelle Maschinen aus, wodurch es in der Lage ist, die Hardwareaufrufe abzuhören, die das ursprüngliche Betriebssystem tätigte. Diese Art von Rootkit ist äußerst schwer zu finden. Und es erfordert keine Änderung des Kernels, um das Betriebssystem zu kompromittieren.

Was sind die Injektionsmethoden von Rootkits?

Ein Rootkit wird heimlich auf Ihrem Computer über verschiedene Techniken installiert. Die Methoden zur Rootkit-Infektion werden im Folgenden erläutert:

  • Piggybacking: Durch die Verwendung scheinbar zuverlässiger Software können Rootkits unbeabsichtigt von den Benutzern installiert werden. Der Rootkit installiert sich diskret auf dem Gerät, wenn der Administrator die Installation der Software genehmigt.

  • Kombinierte Bedrohung: Ein Rootkit kann Zielmaschinen nicht unabhängig infizieren. Angreifer schaffen eine hybride Bedrohung, um viele Schwachstellen auszunutzen und in ein System einzudringen, um einen Rootkit zu verbreiten. Der Rootkit wird dazu mit einem Loader und einem Dropper, zwei zusätzlichen Komponenten, kombiniert. Eine Rootkit-Installationsanwendung oder -datei, die als "Dropper" bekannt ist, wird verwendet, um eine Zielmaschine mit einem Rootkit einzurichten. Dropper können auf verschiedene Weisen verbreitet werden, zum Beispiel durch Social Engineering oder einen Brute-Force-Angriff, bei dem der Täter Software verwendet, um kontinuierlich zu versuchen, den Root-Benutzernamen und das Passwort eines Systems zu erraten. Schadhafter Code, bekannt als Loader, wird gestartet, sobald ein Benutzer die Dropper-Software durch Öffnen oder Ausführen einer Datei startet. Um sicherzustellen, dass das Rootkit zusammen mit dem Zielsystem geladen wird, nutzt der Loader Sicherheitsanfälligkeiten aus. Zum Beispiel kann ein Kernel-Level-Rootkit einen Loader verwenden, der eine Schwachstelle in Linux ausnutzt, um den Betriebssystemcode gegen ein modifiziertes Loadable Kernel Module auszutauschen.

Wie entfernt man Rootkits?

Die Entfernung von Rootkits ist eine schwierige Aufgabe, die oft spezielle Werkzeuge erfordert, wie die Kaspersky TDSSKiller-Anwendung, die das TDSS-Rootkit identifizieren und eliminieren kann. Manchmal ist das vollständige Löschen des Betriebssystems Ihres Computers und ein Neustart die einzige Methode, um ein gut verstecktes Rootkit vollständig zu entfernen.

Ein Scan ist oft erforderlich, um das Windows-Rootkit loszuwerden. Die Neuinstallation von Windows ist der einzige Weg, um einen Rootkit loszuwerden, wenn er tief infiziert ist. Die Verwendung eines externen Mediengeräts ist dafür vorzuziehen, als den Standard-Installer von Windows zu verwenden. Bestimmte Rootkits infizieren das BIOS, das repariert werden muss. Nach einer Reparatur, wenn Sie immer noch ein Rootkit haben, müssen Sie möglicherweise einen neuen Computer kaufen.

Bleiben Sie über neue Versionen informiert, um einen Rootkit auf einem Mac loszuwerden. Updates für Macs entfernen Malware, einschließlich Rootkits, zusätzlich zur Hinzufügung neuer Funktionen. Apple hat integrierte Sicherheitsvorkehrungen, die vor Malware schützen. Dennoch gibt es keine bekannten Rootkit-Detektoren für macOS, daher sollten Sie macOS neu installieren, wenn Sie denken, dass Ihr Gerät möglicherweise infiziert ist. Die Mehrheit der Anwendungen und Rootkits auf Ihrem Computer wird dadurch entfernt. Wie bereits erwähnt, wenn der Rootkit das BIOS beschädigt hat, muss es repariert werden; jedoch, wenn die Malware weiterhin vorhanden ist, müssen Sie möglicherweise ein neues Gerät kaufen.

Welche Werkzeuge werden zur Entfernung von Rootkits verwendet?

Lassen Sie uns jedes Anti-Rootkit-Programm etwas genauer betrachten und sehen, was es zu bieten hat.

  • TDSSKiller: Das Kaspersky Labs-Tool TDSSKiller wurde entwickelt, um das TDSS-Rootkit loszuwerden. Andere Namen für dieses Rootkit sind Rootkit. Win32.TDSS, Tidserv, TDSServ und Alureon. Wenn ein anderer Rootkit gefunden wird, versucht TDSSKiller, ihn zu entfernen, einschließlich des ZeroAccess- oder ZeroAccess-Rootkits.

  • rkhunter: Ein Unix-basiertes Dienstprogramm namens rkhunter (Rootkit Hunter) sucht nach Rootkits, Hintertüren und potenziellen lokalen Sicherheitsanfälligkeiten. Dies geschieht durch den Vergleich der SHA-1-Hashes kritischer Dateien mit denen von als gut bekannten in Internetdatenbanken, das Suchen nach Standardordnern von Rootkits, falschen Berechtigungen, versteckten Dateien und verdächtigen Zeichenfolgen in Kernelmodulen sowie das Durchführen bestimmter Überprüfungen für Linux und FreeBSD. Aufgrund seiner Präsenz in weit verbreiteten Betriebssystemen ist rkhunter bemerkenswert. Um das Tool portabel zu machen, wurde bei seiner Entwicklung die Bourne-Shell verwendet. Es ist mit fast allen UNIX-abgeleiteten Plattformen kompatibel.

  • chkrootkit: Eine beliebte Unix-basierte Software namens chkrootkit (Check Rootkit) wurde entwickelt, um Systemadministratoren bei der Überprüfung ihrer Systeme auf bekannte Rootkits zu unterstützen. Es ist ein Shell-Skript, das nach Signaturen wesentlicher Systemprogramme mithilfe der Befehle strings und grep sucht und die Ergebnisse einer Durchsuchung des /proc-Dateisystems mit der Ausgabe des Befehls ps (Prozessstatus) vergleicht, um Unterschiede zu überprüfen. Es führt alle seine eigenen Anweisungen von einer Rettungsdisk (normalerweise eine Live-CD) aus, oder es kann optional ein anderes Verzeichnis verwenden. Diese Methoden ermöglichen es chkrootkit, ein wenig mehr Vertrauen in die Befehle zu haben, auf die es angewiesen ist. Jede Anwendung, die versucht, Kompromisse (wie Rootkits) zu identifizieren, hat eingebaute Einschränkungen hinsichtlich ihrer Zuverlässigkeit.

  • Malwarebytes Anti-Rootkit: Ein vertrauenswürdiges und kostenloses Rootkit-Entfernungswerkzeug namens Malwarebytes Anti-Rootkit hilft, Ihren Computer vor Rootkits und anderen Arten von Malware zu schützen. Es enthält eine intuitive Wizard-Oberfläche, die es einfach macht, Ihr Gerät schnell auf Rootkits zu überprüfen. Der Systembereich, Sektoren und Treiber sind alles Orte, an denen Rootkit-Malware standardmäßig versucht, Computer zu infizieren. Seine Datenbank sollte überprüft werden, bevor Sie mit dem Scannen beginnen. Es ist tragbar, daher können Sie einen USB-Stick verwenden, um darauf zuzugreifen.

  • Bitdefender Rootkit Remover: Ein kostenloses und einfaches Tool, um Ihren Computer auf Rootkits zu überprüfen, heißt Bitdefender Rootkit Remover. Es kann von einer CD oder einem USB-Laufwerk gestartet werden und verfügt über eine intuitive Benutzeroberfläche, die die Verwendung einfach macht. Die kostenlose und benutzerfreundliche Rootkit-Entfernungsanwendung heißt Bitdefender Rootkit Remover. Sowohl 32- als auch 64-Bit-Betriebssysteme sind damit kompatibel. Führen Sie die alleinstehende ausführbare Datei aus, nachdem Sie sie auf Ihren Computer heruntergeladen haben. Aufgrund seiner kompakten Größe kann der Scan mit einem einzigen Klick beginnen.

  • Sophos Virus Removal Tool: Ein Anti-Rootkit-Tool namens Sophos Virus Removal Tool ermöglicht es Ihnen, Viren und Rootkits zu finden und loszuwerden. Es ist gut darin, Rootkits zu finden und überprüft unter anderem die Festplatte, den Systemspeicher und Anwendungsdateien. Es gibt keinen Ersatz für eine vollständige Systemprüfung. Die Installation der Anwendung ist nicht erforderlich. Es wird sofort von einer CD/DVD oder einem USB-Flash-Laufwerk gestartet. Wenn der Scan abgeschlossen ist, können Sie die Software entfernen.

  • Norton Power Eraser: Normalerweise stellt Symantec keines seiner Werkzeuge kostenlos zur Verfügung. Selbst ihre Sicherungsdiskette, das Norton Bootable Recovery Tool, muss mit einem funktionierenden Produktschlüssel aktiviert werden. Glücklicherweise gibt es ein kostenloses Dienstprogramm namens Norton Power Eraser, das Malware finden und entfernen kann, die tief im System vergraben ist. Es handelt sich um eine einzige, etwa 3 MB große tragbare ausführbare Datei. Die Rootkit-Scan-Option ist standardmäßig in den Einstellungen aktiviert, kann jedoch erst nach einem Neustart verwendet werden.

  • Vba32 AntiRootkit: Ein tragbarer, kostenloser und einfach zu bedienender Rootkit-Entferner ist Vba32 AntiRootkit. Es analysiert Ihren PC auf mögliche Unregelmäßigkeiten. Es ist ein kleines Programm, das mit einem USB-Massenspeichergerät verwendet wird. Das Ausführen dieser Software erfordert Administratorrechte. Es überprüft verschiedene Arten von Hooks, Treibern, Prozessen, Autostart-Objekten usw. und stellt Ihnen dann am Ende des Scans die Informationen zur Verfügung.

  • GMER: Eine weitere ausgezeichnete Option ist GMER, das alle anderen Tools mühelos übertrifft. Der einzige Nachteil dieses Programms ist, dass es ein gewisses Maß an Verständnis erfordert, um die Ergebnisse zu bewerten. Das ist kein Gerät, das man einfach anklicken und desinfizieren kann. Sie führen den Scan des Werkzeugs durch, überprüfen die Ergebnisse und bestimmen, was behoben oder entfernt werden muss. Um mit schwierigeren Krankheiten umzugehen, ist GMER das Werkzeug, das Sie in Ihrem Werkzeugkasten haben sollten.

Letztes Update am von Zenarmor