WEB SECURITY WEB SERVICES SMS SERVICES IT SECURITY NEWS Preise BLOG
Startseite WEB SERVICES Gefahren im Internet Rootkits

WEB SERVICES


Viral Marketing Socialmedia Optimization Socialmedia Marketing Gefahren im Internet Beratung per eMail Beratung per Telefon Beratung vor-Ort

Spam Viren Würmer Trojaner Rootkits Spyware Phishing Pharming HTTP HTTPS POP3 SMTP FTP SSL LSP X-Forwarded-For Core Prozessor

Presse Sitemap Impressum Datenschutz

Rootkits: getarnte, schadhafte Software (Malware)

DEFINITION

Rootkit-Funktionen

ROOTKIT-FUNKTIONEN FANGEN DATEN AB & VERÄNDERN DIESE NACH BELIEBEN.


Ein Rootkit - zu deutsch sinngemäß etwa „Administratorenausrüstung“ - ist eine extrem raffiniert getarnte Malware (schadhafte Software), die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird.


Das Rootkit zielt tief in die Software-Funktionen des angegriffenen Betriebsystems (Softwareprozesse, Registry Schlüssel, Dateien, Hauptspeichernutzung sowie Netzwerkverbindungen), um zukünftige Logins des Eindringlings samt der Malware vor den Antivirenprogrammen zu verstecken.


Hinweise, Hintergrundinformationen


Der Begriff "Rootkit" stammt ursprünglich aus der Unix-Welt. Dort heißen die Benutzer mit den höchsten Zugriffsrechten nämlich nicht Administrator, wie bei Windows-Betriebssystemen, sondern Root.

Da ein Root-Benutzer gewissermaßen auf alle Komponenten des Computers einen Vollzugriff hat, ist der Root-Account das primäre Ziel eines jeden Angreifers.

Sobald ein Root-Account übernommen ist, muss ein Hacker allerdings seine Spuren verwischen, damit die legitimen Benutzer des Computers den Eindringling nicht entdecken. Außerdem muss der Hacker den weiteren Zugriff auf den Computer für sich sichern. Hier kommt nun das Rootkit zum Einsatz. Das Kit modifiziert das Betriebssystem so, dass der Eindringling quasi unsichtbar für alle anderen Anwender des Systems wird.

Durch die Rootkits inspiriert, verwenden Malware-Autoren vor allem zwei unterschiedliche Techniken, die wir im Folgenden kurz erläutern wollen:

Die erste Technik beruht auf der gezielten Manipulation von Systemaufrufen. Im Detail sieht das so aus: Normale Programme verwenden zum Beispiel für den Zugriff auf die Festplatte genormte Systemaufrufe. Diese so genannten API-Aufrufe werden normalerweise von dem Betriebssystem entgegengenommen und verarbeitet. In unserem Fall fängt der Schädling diese Aufrufe aber zwischen dem Programm und dem Betriebssystem ab und kann den Aufruf beliebig verändern oder auch löschen.
Was sich zunächst nicht so gravierend anhören mag, hat aber deutlich spürbare Folgen. Denn durch diese Technik ist ein Schädling in der Lage, Programme in ihrer Funktionsweise zu beeinflussen oder sogar zu steuern. Der Clou ist, dass ein Virus auf diese Weise die Anfragen eines Viren-Scanners abfangen und so verändern kann, dass der Scanner den Virus über einen normalen Scan nicht finden kann.


Eine weitere Technik ist das Manipulieren der Systemstrukturen. Hier gibt es eine große Anzahl unterschiedlicher Möglichkeiten. Beispielsweise können wichtige Systemdateien durch leicht veränderte Duplikate ersetzt werden, die neue und meist unerwünschte Funktionen mit sich bringen. Möglich ist auch eine gezielte Veränderung gewisser Betriebssystemdaten. Dadurch ist es möglich, ein Programm so zu verstecken, dass das Betriebssystem selbst die Schädlingsdatei vor allen neugierigen Blicken und Zugriffen schützt, so dass nicht einmal ein Viren-Scanner diese finden kann.