[imgr=01-was-sind-rootkits-biohazard-symbol.png]01-was-sind-rootkits-biohazard-symbol-80.png?nocache=1320837245370[/imgr]Rootkits sind die Türöffner für schadhafte Software auf Ihrem System. Was sie sind und wie man Rootkits entfernt, beschreibt dieser Artikel.

Was sind Rootkits?

Rootkits (oder Root-Kit) sind wohl die gefährlichste Art von Trojanern bzw. Viren. Der Name bedeutet übersetzt etwa so viel wie Werkzeugset für den Administrator.
Dies klingt im ersten Moment zwar positiv, allerdings werden die Rootkits inzwischen fast nur noch zu schädigenden Zwecken verwendet.
02-was-sind-rootkits-symbolbild-rootkit-80.png?nocache=1320837042077Ein Rootkit könnte auch z.B. zu Wartungszwecken eingesetzt werden, für die spezielle Werkzeuge auf dem zu wartenden Rechner vorhanden sein müssen. Da die Rootkits aber eben einen Zugang mit Administratorenrechten gewähren, sind Sie auch das optimale Werkzeug für einen schadhaften Eingriff in den Rechner. Wenn Sie also etwas von Rootkits lesen, ist damit eigentlich immer die negative Seite gemeint.

Was macht Rootkits so gefährlich?

Rootkits werden für gewöhnlich unbemerkt installiert. Durch die Administratorrechte kann das Rootkit sogenannte Backdoors schaffen, die die Grundlage für weitere Angriffe legen. Der Angreifer hat alle Möglichkeiten, die der eigentliche Systemadministrator auch hat und somit auch die Möglichkeit z.B. Viren zu installieren. Der Systemadministrator bekommt normalerweise von diesen Aktivitäten nicht mit, da das Root-Kit alle Spuren seiner Installation und Aktionen versteckt.
Rootkits wurden ursprünglich für die Unix-basierten Betriebssysteme geschrieben (daher auch der Name, da der Systemadministrator in Unixsystemen "root" heißt), allerdings wurden inzwischen auch für die anderen Betriebssysteme Rootkits entwickelt. In Windows können sie so z.B. schadhafte Dateien hinterlegen, welche unsichtbar für die Benutzer gemacht werden. Diese Möglichkeiten machen es sehr schwer ein Root-Kit zu entdecken und es zu entfernen.

Welche Varianten gibt es?

[imgr=03-was-sind-rootkits-symbolbild-datendieb-470.jpg]03-was-sind-rootkits-symbolbild-datendieb-200.jpg?nocache=1320837070581[/imgr]Die harmloseste Variante der Root-Kits sind die sog. Application-Rootkits, welche aus veränderten Systemprogrammen bestehen, die allerdings recht leicht aufzuspüren und zu entfernen sind.
Viel gefährlicher dagegen sind die Kernel-Rootkits, welche sich im Kern des Betriebssystems einnisten und sich selber verstecken können. Da diese Rootkits im Kern sitzen, können Sie die Datenpakete sehr leicht abgreifen und Informationen filtern.
Speicher-Rootkits existieren im Speicher und sind nach Leerung des Speichers, z.B. Neustart oder Aus-/Einschalten verschwunden.
Die schlimmste Art von Rootkit sind die BIOS-Rootkits, da sie sich, wie der Name schon sagt, im BIOS einnisten und auch durch Neuinstallationen oder Festplatten-Formatierungen nicht entfernt werden können. Sie können sich aber schützen, indem Sie das BIOS hardwareseitig schreibgeschützt einstellen. Wie das geht, entnehmen Sie bitte Ihrem Mainboardhandbuch.

Wie kann man Rootkits entfernen?

Eine garantierte Erkennung von Root-Kits ist ausgeschlossen, da unbekannt ist, wie tief ein Rootkit im System verwurzelt ist. Sofern es sich um ein Root-Kit innerhalb des Betriebssystems handelt, kann die Entfernung durch eine komplette Neuinstallation gewährleistet werden.
Es gibt allerdings auch die Möglichkeit, die Root-Kits mit Hilfe von sogenannten Rootkit-Findern zu erkennen und sie zu entfernen. Viele der aktuellen Virenscanner können die Rootkits ebenfalls aufspüren. Unter Microsofts Windows-Betriebssystem gibt es außerdem den Windows Defender, der die Veränderung des Systems durch ein Root-Kit meldet. In den meisten Fällen können die Root-Kits so auch entfernt werden, da es aber immer wieder neue Varianten und Möglichkeiten für die Root-Kits gibt, kann eben keines dieser Programme die Entfernung aller Root-Kits zu 100% garantieren. Um einem evtl. erhaltenen Root-Kit keine Möglichkeit zu geben als Administrator zu agieren sollten Sie im normalen Betrieb Ihres Rechners nicht als Benutzer arbeiten, welcher Administratorenrechte hat. Haben Sie keine Adminstrationsrechte, kann sich das Root-Kit nicht als Administrator einschleusen und agieren.

Bekannte Beispiele für Rootkits

04-was-sind-rootkits-audio-cd-mit-rootkit-80.png?nocache=1320837090334Das bekannteste Rootkit stammt, so unglaublich es klingt, von Sony BMG. Im Jahre 2005 wurde entdeckt, dass die Firma auf Ihren Audio-CDs ein Rootkit versteckt hatten, welches sich beim Einlegen der CD in einen PC selbstständig installierte und das Kopieren, bzw. Brennen der Audio CD mit jedem Brennprogramm, außer dem firmeneigenen, verhinderte. Mit dem Sony-Brennprogramm konnte die CD nur 3x kopiert werden.
Das zweite bekannte Rootkit stammt ebenfalls von Sony, und zwar war dies auf einem USB-Stick hinterlegt. Der USB-Stick enthielt eine Software, welches ein Rootkit im Windows Betriebssystem versteckte, um alle Funktionalitäten der Software zu ermöglichen.
Im September 2008 veröffentlichte EA das Spiel Spore, welches ebenfalls ein Rootkit installierte, welches den Online-Verifikations-Kopierschutz vor dem Benutzer verstecken sollte. Nachdem dieses Rootkit entdeckt wurde, sind viele Diskussionen über das Spiel und den Publisher EA entstanden.