Viren, Trojaner, Spyware und Rootkit sind u.a. die Werkzeuge der Bad Guys in der Computerwelt, um sich Zugriff auf Ihren Rechner oder Netzwerk zu verschaffen. Wenden wir uns in diesem Artikel den Rootkits zu.

Der Begriff Rootkit setzt sich aus dem Begriff root (= Administrator in unixähnlichen Betriebssystemen) und kit (= Ausrüstung, Ausstattung, Baukasten, Bausatz) zusammen und ist in der Computerwelt eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem befallenen Rechner installiert wird, um zukünftige Anmeldevorgänge des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Das zentrale Merkmal eines Rootkits ist es, dass es sich ohne Wissen des Administrators installiert und dem Angreifer die Basis zum Installieren von z. B. Viren oder anderer Schadsoftware (Malware) bietet. Rootkits können neue Hintertüren („backdoors“) öffnen. Zudem versuchen Rootkits, den Weg ihres Einschleusens zu verschleiern, damit sie nicht von anderen entfernt werden. So sind diese Schadprogramme  z.B. in dem Prozessmanager/Taskmanager Ihres Windows-Rechners, der eigentlich alle Dienste und Programme zur Laufzeit des System anzeigen sollte, nicht auffindbar. Doch gibt es einen Bereich in Ihrem Computer, in dem das Verstecken schwierig ist, dem Arbeitsspeicher.

Unabhängig der vorhandenen Rootkit Scanner und Remover wollen wir uns anhand der hervorragenden Videotutorials der Plattform SemperVideo zeigen lassen, wie wir einen Arbeitsspeicherdump, also eine Auflistung des Arbeitsspeicherinhalts, erstellen können, um so den unerwünschten Programmen evtl. auf die Spur zu kommen.

Schritt 1: Arbeitsspeicher dumpen

2. Schritt: Prozessliste aus dem Arbeitsspeicherdump auslesen

Auch wenn diese Übung uns Hoffnung macht, auf diese Weise den Rootkit-Vandalen auf die Schliche zu kommen, so muss ich eingestehen, dass die Materie doch komplizierter ist und die Rootkits um einiges raffinierter.

Sogar Windows-Fachleute müssen zu dem Schluss kommen: "Es empfiehlt sich, alle Unstimmigkeiten auf die Wahrscheinlichkeit der Anwesenheit eines Rootkits hin zu untersuchen. Leider gibt es keine endgültige Möglichkeit, um ... zu bestimmen, ob ein Rootkit anwesend ist. Sie sollten jedoch alle gemeldeten Unstimmigkeiten untersuchen, um sicherzustellen, dass sie erklärbar sind. Wenn Sie feststellen, dass ein Rootkit installiert wurde, suchen Sie im Internet nach Entfernungsanweisungen. Wenn Sie sich nicht sicher sind, wie Sie ein Rootkit entfernen, sollten Sie die Festplatte des Systems neu formatieren und Windows neu installieren."

Windows-Tool: RootkitRevealer 1.71

weiterführende Infos: Rootkit-Scanner-Anleitungen