Betriebssystem, Malware, Kernel, Computer
© igorstevanovic - Shutterstock

Rootkit – Funktionsweise, Arten und Schutz

Rootkit Erkennen und sich davor schützen
Veröffentlicht am
Zuletzt aktualisiert am

Ein Großteil der weltweit von Kriminellen eingesetzten Malware bleibt von deren Opfern unentdeckt. Das liegt auch an Schadsoftware wie dem Rootkit. Wir zeigen Ihnen leicht verständlich, was ein Rootkit ist, welche Arten es gibt und wie Sie Ihren Rechner mit den passenden Tools davor schützen können.

Was ist ein Rootkit?

Bei einem Rootkit handelt es sich um ein Schadprogramm, dass sehr tief im Betriebssystem versteckt wird. Rootkits lassen sich durch ihre Programmierung deshalb in der Regel nur mit entsprechender Antivirus-Software aufspüren und entfernen.

Die zentrale Funktion von Rootkits besteht darin, Dritten Zugang zu einem fremden Rechner zu ermöglichen. So können sie diesen fernsteuern, manipulieren oder Daten stehlen. Rootkit-Angriffe werden auch genutzt, um z.B. Software zu installieren, mit welcher Angreifer ein Botnet aus der Ferne steuern können.

Ein Rootkit besteht üblicherweise aus einem Bündel an Malware. So kann ein Rootkit Keylogger, Bots oder Ransomware enthalten.

Info: Woher kommt die Bezeichnung „rootkit“?

Der Begriff „rootkit“ setzt sich aus den Wörtern „root“ (dt. = Wurzel = höchstes Verzeichnis in einem Dateisystem; Nutzer mit allen Admin-Rechten) und „kit“ (dt. = Set). Das Rootkit ist ganz neutral eine Sammlung an Softwareanwendungen, welche Administratorenrechte nutzen können. Aber wenn diese Rechte für das Nachladen von Schadsoftware verwendet werden, wird das Rootkit selbst zur Malware.

Rootkit: Diese Arten gibt es

Rootkits werden üblicherweise anhand der Tiefe klassifiziert, in der sie im Dateisystem des betroffenen Rechners agieren.

User-Mode-Rootkits

Von diesen Rootkits ist vor allem das Adminstrator-Konto Ihres Rechners betroffen. Die Malware hat dadurch alle Vorzüge des Admin-Zugriffs auf Dateien oder Programme und kann z.B. Sicherheitseinstellungen verändern. Das Tückische an diesen Rootkits: Sie werden bei jedem Neustart des Rechners automatisch mitgestartet.

Kernel-Model-Rootkits

Diese Rootkits arbeiten direkt auf der Ebene des Betriebssystems und haben so die Möglichkeit, alle Bereiche des Betriebssystems zu manipulieren. Selbst Scans von Virenscannern können bei einer Infizierung mit einem Kernel-Mode-Rookit falsche Ergebnisse liefern. Allerdings müssen Kernel-Rootkits sehr viele Hürden überwinden, bis sie sich im Kernel festsetzen können. Meist werden sie schon vorher bemerkt, weil z.B. der Computer ständig abstürzt.

Firmware-Rootkits

Diese Rootkits können sich der Firmware von Computersystemen einnisten. Sie werden nach dem Löschen automatisch bei jedem Neustart wieder installiert. Das macht Firmware-Rootkits besonders hartnäckig und erschwert deren Entfernung.

Bootkits

Diese Rootkits setzen sich im Bootsektor fest. Wenn Sie Ihren PC starten, greift das System auf den Master Boot Record zurück. Dort befindet sich auch das Bootkit, das jedes Mal beim Start mitgeladen wird. Einen wichtigen Schutz haben Nutzer neuerer Windows-Betriebssysteme wie 8 oder 10. Diese Versionen besitzen bereits Sicherheitssysteme, welche den Start von Bootkits beim Einschalten des Rechners verhindern.

Virtuelle Rootkits

Diese Rootkits installieren sich auf einer virtuellen Maschine und können außerhalb des eigentlichen Betriebssystems auf einen infizierten Rechner zugreifen. So sind sie für Virenschutzsoftware schwer zu erkennen.

Hybride RootkitsDiese Rootkits teilen die Software auf und installieren Teile davon im Kernel und andere Teile auf der Nutzerebene. Für Kriminelle sind diese Rootkits von Vorteil, da sie über die Benutzerebene sehr stabil laufen und gleichzeitig im Kernel, also getarnt agieren.

Um sich vor diesen heimtückischen Bedrohungen zu schützen, müssen u.a. Virenscanner über aktuelle Virendefinitionen verfügen.

Wie kommt ein Rootkit auf den Computer?

Rootkits benötigen immer ein „Vehikel“, mit dessen Hilfe sie sich auf einem Computer einnisten können. In der Regel ist ein Rootkit deshalb immer aus drei Komponenten aufgebaut, dem Rootkit selbst, dem Dropper und Loader. Der Dropper ist vergleichbar mit einem Computervirus, das Ihren Rechner infiziert. Denn der Dropper sucht nach einer Sicherheitslücke, um das Rootkit auf dem gewünschten Gerät zu speichern. Danach kommt der Loader zum Einsatz. Er installiert das Rootkit auf dem infizierten Rechner, z.B. im Kernel oder auf der Benutzerebene, wenn es sich um ein User-Mode-Rootkit handelt.

Für den Drop verwenden Rootkits u.a. folgende Medien:

Messenger

Erhalten Sie z.B. über einen Messenger einen schädlichen Link oder eine Datei und Sie öffnen Link oder Datei, kann der Dropper das Rootkit auf Ihrem Gerät platzieren.

Gehackte Software und Apps:

Rootkits können von Hackern in vertrauenswürdige Software oder Apps „geschmuggelt“ werden. Die Dateien werden z.B. als kostenlose Angebote im Netz verteilt. Sobald Sie diese Programme installieren, laden Sie auch das Rootkit auf Ihren Rechner.

PDF- oder Office-Dateien:Ob als Mail-Anhang oder Download, in Office-Dateien oder PDFs können sich Rootkits verstecken. Sobald Sie die Datei öffnen, fügt der Dropper die Datei in Ihren Rechner ein und der Loader beginnt mit der Installation im Hintergrund.

 

Woran erkenne ich ein Rootkit auf meinem Rechner (Rootkit Scanner)?

Um Rootkits sicher zu erkennen und anschließend zu entfernen, ist ein Rootkit Scanner erforderlich, der im Virenscan leistungsstarker Antiviren-Programm enthalten ist. So können diese Scans z.B. gängige Signaturen von Rootkits erkennen. Bei diesen Signaturen sind die Zahlen im Code in einer bestimmten Form angeordnet. Doch es gibt auch einige Anzeichen Ihres Rechners, die auf eine mögliche Infektion mit einem Rootkit hinweisen können.

  • Ungewöhnliches Verhalten Ihres Rechners: Rootkits zeichnen sich durch ihre Unauffälligkeit aus. Allerdings kann es vorkommen, dass sich Ihr Computer anders verhält als üblich, z.B. Programme ungewollt öffnet oder Prozesse startet, die Sie nicht gestartet haben.
  • Ihre Systemeinstellungen verändern sich ohne Ihr Zutun: Stellen Sie z.B. fest, dass Ihr Computer allgemein einen Remote-Zugriff ermöglicht oder Ports freigibt, kann ein Rootkit die Ursache sein.
  • Analyse des Speicherabbilds: Wenn ein Computer abstürzt, erstellt Windows ein Abbild des Systemspeichers. Experten können anhand dieser Datei ungewöhnliche Muster erkennen, die ein Rootkit erzeugt.
  • Ihre Internetverbindung ist immer wieder instabil: Rootkits können z.B. für große Datenflüsse sorgen, über welche Hacker Daten abgreifen. Diese Datenbewegungen können Ihre Internetleitung sehr langsam machen oder sogar zum Abbruch führen.

Wie kann ich mich vor einem Rootkit schützen?

Der wichtigste Schutz vor Rootkits besteht im Einsatz eines aktuellen Virenschutzprogramms. Ausgestattet mit den neuesten Virendefinitionen kann ein Echtzeit-Schutz Sie vor gefährlichen Downloads und Installation warnen und mit Hilfe eines Virenscanners Ihren Rechner regelmäßig auf Rootkits kontrollieren.

Daneben empfehlen sich folgende Maßnahmen:

  • Verwenden Sie im Alltag nur einen Nutzer-Account und nicht den Admin-Zugang: Wenn Sie sich bei Windows oder in iOS mit einem Gastzugang anmelden, verfügen Sie nur über eingeschränkte Rechte. Infizieren Sie Ihren Rechner in dieser Zeitspanne mit einem Rootkit, kann der Dropper erst einmal nur auf diese Nutzerebene zugreifen und z.B. nicht direkt auf das Kernel zugreifen.
  • Aktualisieren Sie Ihr Betriebssystem und Ihre Software regelmäßig: Durch regelmäßige Updates schließen Hersteller bekannte Sicherheitslücken. Führen Sie alle erforderlichen Aktualisierungen deshalb unbedingt durch.
  • Laden Sie Dateien aus dem Internet nur von seriösen Websites herunter: Vermeiden Sie potenziell gefährliche Downloads, minimieren Sie die Gefahr, Opfer eines Rootkits zu werden.
  • Öffnen Sie E-Mail-Anhänge nur von Absendern, welchen Sie vertrauen: Bekommen Sie E-Mails von Absendern mit kryptischen Mail-Adressen, löschen Sie diese am besten. Kommt Ihnen ein E-Mail-Anhang von einer vertrauten Adresse komisch vor, fragen Sie lieber noch einmal beim Absender nach, bevor Sie den E-Mail-Anhang öffnen.
  • Installieren Sie Smartphone-Apps nur aus den offiziellen App-Stores: Wenn Sie Apps aus offiziellen Quellen beziehen, durchlaufen diese bereits eine Sicherheitsprüfung. So verringern Sie das Risiko, ein Rootkit auf Ihr Smartphone zu laden.

Rootkit entfernen – so gehen Sie vor

Rootkits sollten Sie immer mit spezieller Virenschutzsoftware entfernen. Da diese Malware sich tief im Betriebssystem Ihres Computers einnisten kann, ist die manuelle Entfernung in der Regel sehr schwierig. Vergessen Sie kleine Reste des Rootkits beim Löschen, wird es sich in der Regel beim Neustart wieder installieren.

Verwenden Sie zum Entfernen von Rootkits am besten ein aktuelles Virenschutzprogramm, das über die aktuellsten Virendefinitionen verfügt. Empfehlenswert ist dann ein Virenscan im abgesicherten Modus, damit das Rootkit z.B. keine Daten aus dem Internet nachladen kann. Häufig sind mehrere Durchgänge mit dem Viren- oder Malware-Scan notwendig, um ein Rootkit vollständig zu beseitigen.

In diesem Artikel erhalten Sie eine genaue Anleitung, wie Sie Rootkits finden und löschen.

Bekannte Rootkits

Rootkits sind sehr alte Internetbedrohungen. Zu den erstmals bekannt gewordenen Rootkits gehört eine Malware, die 1990 vor allem Unix-Betriebssysteme befallen hat. Das erste bekannte Rootkit für Windows-Rechner war das NTR-Rootkit, das 1999 im Umlauf war. Dabei handelt es sich um ein Kernel-Rootkit.

Zwischen 2003 und 2005 gab es diverse größere Angriffe mit Rootkits, darunter u.a. einen Angriff auf Mobiltelefone, die im Netz von Vodafone Griechenland aktiviert waren. Als „Greek Watergate“ wurde dieses Rootkit bekannt, weil u.a. der griechische Premierminister betroffen war.

2008 wütete das Bootkit TDL-1. Cyberkriminelle verwendeten es, um mit Hilfe eines Trojaners ein großes Botnet aufzubauen.

Erstmals wurde 2009 ein Rootkit bekannt, das auch Apple-Betriebssysteme befällt. Es wurde „Machiavelli“ getauft.

2010 wütete der Wurm Stuxnet. Er nutzte u.a. ein Rootkit, welches das iranische Atomprogramm ausspähen sollte. Als Entwickler bzw. Angreifer werden der israelische und US-amerikanische Geheimdienst vermutet.

Mit LoJax wurde 2018 ein Rootkit entdeckt, das erstmals die Firmware der Hauptplatine eines Rechners befällt. So ist es der Malware möglich, sich selbst bei einer erneuten Installation des Betriebssystems wieder zu reaktivieren.

Fazit: Schwer zu erkennen, aber mit aktueller Virenschutzsoftware und Vorsicht lässt sich die Gefahr verringern

Da Rootkits sich tief in das Betriebssystems eines Computers einnisten, ist Prävention besonders wichtig. Denn hat sich ein Rootkit erst einmal installiert, ist es für Laien schwer, eine Infizierung zu erkennen. Wer jedoch mit einem aktuellen Virenschutz und den passenden Tools sowie mit Vorsicht im Internet unterwegs ist und nicht unbedacht unbekannte Dateien öffnet, verringert die Wahrscheinlichkeit, Opfer eines Rootkits zu werden.