Rootkits erkennen und entfernen
Wie gut Antivirus-Software und Anti-Rootkit-Tools sich wirklich eignen
22.07.2010 | Autor / Redakteur: Mike Chapple und Stephan Augsten / Stephan Augsten
Wenn man das Wort Rootkit ausspricht, zuckt nahezu jeder Sicherheitsexperte innerlich zusammen. Diese Schadcode-Art wurde eigens dafür konzipiert, mit Administratorrechten in anfällige Systeme einzudringen. Dieser Tip beleuchtet wie man den PC vor Rootkit-Infektionen schützt und mit welchen Security-Tools man die Malware-Tarnkappen aufspüren kann.
Der Begriff Rootkit leitet sich von der Unix- und Linux-Terminologie des administrativen Nutzers her, der als Root bezeichnet wird. Die ersten Toolsammlungen dieser Art beinhalteten modifizierte Versionen bekannter Unix-Programme, mit denen man beispielsweise laufende Prozesse anzeigen oder das Admin-Passwort ändern kann.
Mittlerweile sind Rootkits derart weiterentwickelt, dass sie System-Infiltrationen und bösartige Aktionen vor der Antivirus-Software und den Augen des Systemadministrators verbergen. Ist ein System also erst einmal mit einem Rootkit infiziert, dann wird es schwierig, dies auch zu entdecken.
Es bedarf wohl keiner umfassenden Erklärung, dass eine aktuelle Antivirus-Software grundsätzlich zu den Sicherheitsmaßnahmen eines Unternehmens gehören sollte. Das Problem ist jedoch, dass die wenigsten Antivirenprogramme wirklich effektiv gegen sämtliche Rootkit-Varianten vorgehen können.
Gängige Einfallstore
Ein Rootkit installiert sich vorrangig auf zwei Arten: entweder schleicht es sich über eine Schwachstelle im Betriebssystem ein oder es macht sich Anwenderfehler zunutze. Beide Infektionswege sind deshalb kritisch, weil eine Antivirus-Software unter Umständen nicht rechtzeitig auf derartige Risiken reagieren kann. Doch warum ist das so?
Jeder Patchday-gebeutelte Windows-Administrator kann wohl bestätigen, dass Microsoft und andere Betriebssystem-Hersteller ihre Sicherheitsupdates in schwindelerregenden Zeitabständen veröffentlichen. Schon viele Privatanwender sind damit überfordert, monatlich die verfügbaren und unabkömmlichen Patches einzuspielen; Unternehmen haben noch weitaus größere Probleme, da sie ihre Systeme nicht ohne ausgiebige Tests aktualisieren können.
Bei aller Vorsicht lassen sich Systemadministratoren allerdings oft zu viel Zeit für Sicherheitsupdates, wie mehrere Studien gezeigt haben. Damit steht Schadcode-Autoren ein großes Zeitfenster offen, in dem sie Rootkits unbemerkt über Schwachstellen in die Systeme einpflanzen können. Es ist aber nicht nur kritisch, anfällige Systeme zu patchen, sondern auch den Patch-Status sämtlicher Systeme und potenziell gefährliche Aktionen zu überwachen (Security Monitoring).
Seite 2: Anwender für Gefahren sensibilisieren
Separat erhältliche Anti-Rootkit-Tools für Windows-Betriebssystemee
Inhalt des Artikels:
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046211)
Sehr geehrte Leserinnen und Leser,