Dieser Beitrag erklärt Was ist ein Rootkit-Virus in der Cybersicherheit?. Während es möglich ist, Malware auf eine Weise zu verstecken, die selbst herkömmliche Antiviren-/Antispyware-Produkte täuschen kann, verwenden die meisten Malware-Programme bereits Rootkits, um sich tief auf Ihrem Windows-PC zu verstecken … und sie werden immer gefährlicher! Das DL3-Rootkit ist eines der fortschrittlichsten Rootkits, die jemals in freier Wildbahn gesehen wurden. Das Rootkit war stabil und konnte 32-Bit-Windows-Betriebssysteme infizieren, allerdings waren Administratorrechte erforderlich, um die Infektion im System zu installieren. Aber TDL3 wurde jetzt aktualisiert und kann infizieren sogar 64-Bit-Versionen von Windows!

Was ist ein Rootkit?

Ein Rootkit-Virus ist eine heimliche Malware, die die Existenz bestimmter Prozesse oder Programme auf Ihrem Computer vor regulären Erkennungsmethoden verbergen soll, um diesem oder einem anderen bösartigen Prozess privilegierten Zugriff auf Ihren Computer zu ermöglichen.

Rootkits für Windows werden typischerweise verwendet, um bösartige Software beispielsweise vor einem Antivirenprogramm zu verbergen. Es wird von Viren, Würmern, Hintertüren und Spyware für böswillige Zwecke verwendet. Ein Virus in Kombination mit einem Rootkit erzeugt sogenannte Full-Stealth-Viren. Rootkits sind im Spyware-Bereich häufiger anzutreffen und werden mittlerweile auch immer häufiger von Virenautoren eingesetzt.

Sie sind mittlerweile eine aufkommende Art von Super-Spyware, die sich effektiv versteckt und direkt auf den Betriebssystemkern einwirkt. Sie werden verwendet, um das Vorhandensein bösartiger Objekte wie Trojaner oder Keylogger auf Ihrem Computer zu verbergen. Wenn eine Bedrohung Rootkit-Technologie zum Verstecken nutzt, ist es sehr schwierig, die Malware auf Ihrem PC zu finden.

Ein bekanntes Beispiel für ein Rootkit ist NTRootkit, das als eines der ersten bösartigen Rootkits auf das Windows-Betriebssystem abzielte. Ein weiteres Beispiel ist HackerDefender, ein Trojaner, der das Betriebssystem mit einer geringen Anzahl von Funktionsaufrufen veränderte. Darüber hinaus war Machiavelli das erste Rootkit, das 2009 auf Mac OS X abzielte.

Rootkits an sich sind nicht gefährlich. Ihr einziger Zweck besteht darin, Software und die im Betriebssystem hinterlassenen Spuren zu verbergen, sei es normale Software oder Malware-Programme.

Grundsätzlich gibt es drei verschiedene Arten von Rootkits. Der erste Typ, der „Kernel-Rootkits” fügen normalerweise ihren eigenen Code zu Teilen des Betriebssystemkerns hinzu, während die zweite Art, die „Benutzermodus-Rootkits” sind speziell darauf ausgerichtet, Windows während des Systemstarts normal zu starten oder werden über einen sogenannten „Dropper“ in das System eingeschleust. Der dritte Typ ist MBR-Rootkits oder Bootkits.

Das Hauptziel von Rootkits besteht darin, das Vorhandensein von Malware auf einem System effektiv zu verbergen und aufrechtzuerhalten, sodass es mit erhöhten Rechten arbeiten kann. Dazu gehört das Ausblenden von Dateien, Prozessen, Registrierungsschlüsseln, Benutzerkonten und sogar Systemregistrierungen während des Systemstarts. Rootkits spielen eine entscheidende Rolle bei der Maskierung von Malware-Payloads und der Sicherstellung ihrer Persistenz auf dem kompromittierten System.

Wenn Sie feststellen, dass Ihr AntiVirus- und AntiSpyware-Programm nicht funktioniert, müssen Sie möglicherweise die Hilfe eines guten Anti-Rootkit-Dienstprogramms in Anspruch nehmen.

RootkitRevealer aus Microsoft Sysinternals ist ein erweitertes Dienstprogramm zur Rootkit-Erkennung. In der Ausgabe werden Unstimmigkeiten zwischen der Registrierung und der Dateisystem-API aufgeführt, die auf das Vorhandensein eines Benutzermodus- oder Kernelmodus-Rootkits hinweisen können.

Bedrohungsbericht des Microsoft Malware Protection Center zu Rootkits

Das Microsoft Malware Protection Center hat seinen Bedrohungsbericht zu Rootkits veröffentlicht. Der Bericht untersucht eine der heimtückischeren Arten von Malware, die heute Unternehmen und Einzelpersonen bedrohen – das Rootkit. Der Bericht untersucht, wie Angreifer Rootkits einsetzen und wie Rootkits auf betroffenen Computern funktionieren. Hier ist ein Kerninhalt des Berichts, beginnend mit dem, was Rootkits sind – für Anfänger.

Rootkit ist eine Reihe von Tools, die ein Angreifer oder ein Malware-Ersteller verwendet, um die Kontrolle über ein exponiertes/ungesichertes System zu erlangen, das ansonsten normalerweise einem Systemadministrator vorbehalten ist. In den letzten Jahren wurde der Begriff „ROOTKIT“ oder „ROOTKIT-FUNKTIONALITÄT“ durch MALWARE ersetzt – ein Programm, das unerwünschte Auswirkungen auf einen fehlerfreien Computer haben soll. Die Hauptfunktion von Malware besteht darin, heimlich wertvolle Daten und andere Ressourcen vom Computer eines Benutzers zu entziehen und sie dem Angreifer zur Verfügung zu stellen, wodurch dieser die vollständige Kontrolle über den kompromittierten Computer erhält. Darüber hinaus sind sie schwer zu erkennen und zu entfernen und können über einen längeren Zeitraum, möglicherweise sogar Jahre, verborgen bleiben, wenn sie unbemerkt bleiben.

Daher müssen die Symptome eines kompromittierten Computers natürlich maskiert und berücksichtigt werden, bevor das Ergebnis fatal ist. Insbesondere sollten strengere Sicherheitsmaßnahmen ergriffen werden, um den Angriff aufzudecken. Aber wie bereits erwähnt, machen es ihre Tarnfähigkeiten, sobald diese Rootkits/Malware installiert sind, schwierig, sie und ihre Komponenten, die sie möglicherweise herunterladen, zu entfernen. Aus diesem Grund hat Microsoft einen Bericht zu ROOTKITS erstellt.

Der 16-seitige Bericht beschreibt, wie ein Angreifer Rootkits verwendet und wie diese Rootkits auf betroffenen Computern funktionieren.

Der einzige Zweck des Berichts besteht darin, potenzielle Schadsoftware zu identifizieren und genau zu untersuchen, die viele Organisationen, insbesondere Computerbenutzer, bedroht. Außerdem werden einige der vorherrschenden Malware-Familien erwähnt und die Methode ans Licht gebracht, mit der die Angreifer diese Rootkits für ihre eigenen egoistischen Zwecke auf gesunden Systemen installieren. Im weiteren Verlauf des Berichts finden Sie Experten, die einige Empfehlungen aussprechen, um Benutzern dabei zu helfen, die Bedrohung durch Rootkits einzudämmen.

Arten von Rootkits

Es gibt viele Orte, an denen sich Malware in einem Betriebssystem installieren kann. Daher wird die Art des Rootkits meist durch seinen Standort bestimmt, an dem es seine Unterversion des Ausführungspfads durchführt. Dazu gehört:

1. Benutzermodus-Rootkits
2. Kernel-Modus-Rootkits
3. MBR-Rootkits/Bootkits

Die möglichen Auswirkungen einer Rootkit-Kompromittierung im Kernel-Modus werden anhand eines Screenshots unten veranschaulicht.

Der dritte Typ besteht darin, den Master-Boot-Record zu ändern, um die Kontrolle über das System zu erlangen und den Ladevorgang zum frühestmöglichen Zeitpunkt in der Boot-Sequenz zu starten3. Es verbirgt Dateien, Registrierungsänderungen, Hinweise auf Netzwerkverbindungen sowie andere mögliche Indikatoren, die auf sein Vorhandensein hinweisen können.

Bemerkenswerte Malware-Familien, die die Rootkit-Funktionalität nutzen

• Win32/Sinowal13 – Eine aus mehreren Komponenten bestehende Malware-Familie, die versucht, sensible Daten wie Benutzernamen und Passwörter für verschiedene Systeme zu stehlen. Dazu gehört der Versuch, Authentifizierungsdaten für verschiedene FTP-, HTTP- und E-Mail-Konten sowie Anmeldedaten für Online-Banking und andere Finanztransaktionen zu stehlen.
• Win32/Cutwail15 – Ein Trojaner, der beliebige Dateien herunterlädt und ausführt. Die heruntergeladenen Dateien können von der Festplatte ausgeführt oder direkt in andere Prozesse eingefügt werden. Während die Funktionalität der heruntergeladenen Dateien unterschiedlich ist, lädt Cutwail normalerweise andere Komponenten herunter, die Spam versenden. Es verwendet ein Kernel-Modus-Rootkit und installiert mehrere Gerätetreiber, um seine Komponenten vor betroffenen Benutzern zu verbergen.
• Win32/Rustock – Eine aus mehreren Komponenten bestehende Familie Rootkit-fähiger Backdoor-Trojaner, die ursprünglich entwickelt wurde, um die Verbreitung von „Spam“-E-Mails über a zu unterstützen Botnetz. Ein Botnet ist ein großes, von Angreifern kontrolliertes Netzwerk kompromittierter Computer.

Schutz vor Rootkits

Die Verhinderung der Installation von Rootkits ist die wirksamste Methode, um eine Infektion durch Rootkits zu verhindern. Hierzu sind Investitionen in Schutztechnologien wie Antiviren- und Firewall-Produkte notwendig. Solche Produkte sollten einen umfassenden Schutzansatz verfolgen, indem sie traditionelle signaturbasierte Erkennung, heuristische Erkennung, dynamische und reaktionsfähige Signaturfähigkeit und Verhaltensüberwachung nutzen.

Alle diese Signatursätze sollten mithilfe eines automatisierten Aktualisierungsmechanismus auf dem neuesten Stand gehalten werden. Die Antivirenlösungen von Microsoft umfassen eine Reihe von Technologien, die speziell zur Abwehr von Rootkits entwickelt wurden, darunter eine Live-Kernel-Verhaltensüberwachung, die Versuche, den Kernel eines betroffenen Systems zu ändern, erkennt und darüber berichtet, sowie eine direkte Analyse des Dateisystems, die die Identifizierung und Entfernung versteckter Treiber erleichtert.

Wenn festgestellt wird, dass ein System kompromittiert ist, kann sich ein zusätzliches Tool als nützlich erweisen, mit dem Sie in einer bekanntermaßen guten oder vertrauenswürdigen Umgebung booten können, da es möglicherweise geeignete Abhilfemaßnahmen vorschlägt.

Unter solchen Umständen

1. Das eigenständige System Sweeper-Tool (Teil des Microsoft Diagnostics and Recovery Toolset (DaRT))
2. Windows Defender Offline kann nützlich sein.

Für weitere Informationen können Sie den PDF-Bericht herunterladen unter Microsoft Download Center.