Rootkits – sprich: Programme, die dazu dienen, Veränderungen am System zu tarnen – kommen immer mehr in Umlauf. Aktuelles und prominentes Beispiel für ein Rootkit ist ein versteckter Bestandteil in einer Kopierschutz-Software für Musik-CDs von Sony BMG. Er tarnt den Kopierschutz auf Windows-Rechnern als „Plug and Play Device Manager“. Mit herkömmlicher Antiviren- Software kann man diesen Tools nur schwer bis gar nicht zu Leibe rücken. Sie wollen deshalb selbst nachprüfen, ob sich Rootkits auf Ihrem Rechner eingenistet haben.

Lösung:

Um ein Rootkit zu entlarven, brauchen Sie neben etwas Gespür vor allem ein Spezial-Tool, beispielsweise den kostenlosen Rootkit Revealer von Sysinternals . Rufen Sie das Programm einfach von einem Account mit Admin-Rechten auf, und klicken Sie auf „Scan“. Das Tool durchsucht das System nun auf zwei Wegen: Zunächst prüft es, welche Daten über die Windows-API verfügbar sind – also offiziell existieren. Außerdem liest es die rohen Daten direkt von der physikalischen Partition ein. Danach vergleicht Rootkit Revealer die Suchergebnisse.

Falls zwischen diesen beiden Scans Unterschiede auftreten, falls also das Tool beim Rohdatenscan auf Daten stößt, die nicht beim System angemeldet sind, gibt es nach einigen Minuten eine Liste mit den Abweichungen aus.

Nun müssen Sie das angezeigte Ergebnis interpretieren. Die Abweichungen können nämlich von Windows selbst, von einer anderen Software – oder eben von einem Rootkit – verursacht werden. Windows etwa versteckt die Master File Table (das Inhaltsverzeichnis der Festplatte, $MFT) vor der eigenen API. Ein weiteres Beispiel: Kaspersky Antivirus lässt seine Daten in NTFS-Streams verschwinden.

Rootkit Revealer gibt jeweils für jeden auffälligen Eintrag neben dem Pfad in der Spalte „Description“ den Grund an, aus dem er in die Liste aufgenommen wurde. Sie müssen deshalb einige Kenntnisse haben, um unterscheiden zu können, ob eine gutartige Anwendung dahinter steckt oder tatsächlich ein Rootkit. Unterstützung bekommen Sie dabei über den Punkt „Interpreting the Output“ aus der englischsprachigen Hilfe des Tools oder über die Site http://www.rootkit.com. Wenn Sie zu dem Schluss gekommen sind, dass sich ein Rootkit eingenistet hat, durchsuchen Sie die Autostart-Quellen, blocken Sie die gefundenen Programme, und fragen Sie Google, worum es sich genau handelt – und wie Sie es gegebenenfalls entsorgen können.

Achtung: Auch mit Rootkit Revealer werden Sie nicht alle Tarnprogramme aufspüren. Neuere Rootkits prüfen zum Beispiel schon, ob das Tool läuft, und biegen während dessen Laufzeit vorübergehend keine APIs mehr um – sprich: Sie schützen sich vor dem Entdeckt werden, indem sie sich während der Suche einfach nicht verstecken.