{"id":853,"date":"2013-03-28T14:00:20","date_gmt":"2013-03-28T14:00:20","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=853"},"modified":"2019-11-22T12:46:10","modified_gmt":"2019-11-22T10:46:10","slug":"was-ist-ein-rootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/was-ist-ein-rootkit\/853\/","title":{"rendered":"Was ist ein Rootkit?"},"content":{"rendered":"

Rootkits<\/a> gibt es nun schon seit fast 20 Jahren. Sie erlauben Angreifern, Daten von infizierten Computern zu stehlen, und bleiben dabei lange Zeit unentdeckt. Der Begriff wird im weitesten Sinne f\u00fcr eine ganze Gruppe von Schadprogrammen<\/strong> verwendet, die daf\u00fcr erstellt werden, sich auf infizierten Computern zu verbergen und dem Angreifer Zugriff auf den PC zu verschaffen. Im folgenden Artikel zeigen wir Ihnen, was Rootkits sind,<\/strong> wie sie funktionieren, und was Sie tun k\u00f6nnen, wenn Ihr Computer von einem Rootkit infiziert wurde.<\/p>\n

Rootkits: Definition<\/b><\/p>\n

Der Begriff Rootkit beschreibt Schadprogramme, die PCs infizieren und dem Cyberkriminellen<\/strong> erlauben, verschiedene Programme darauf zu installieren, die ihm dauerhaften Zugriff auf den Computer erm\u00f6glichen. Das Schadprogramm wird \u00fcblicherweise tief im Betriebssystem versteckt und ist so programmiert, dass es die Entdeckung durch Antivirus-Software und andere Security-L\u00f6sungen erschwert. Das Rootkit kann auch verschiedene sch\u00e4dliche Tools enthalten, etwa Keylogger<\/strong>, Programme zum Passwort-Diebstahl, Module zum Diebstahl von Kreditkartennummern und Online-Banking-Informationen, einen Bot f\u00fcr DDoS-Attacken oder Funktionen, die die installierte Security-Software abschalten. Rootkits fungieren meist als Backdoors, die dem Angreifer erm\u00f6glichen, aus der Ferne auf den infizierten Computer zuzugreifen und bestimmte Komponenten darauf zu installieren. Beispiele f\u00fcr derzeit aktive Windows-basierte Rootkits<\/strong> sind TDSS<\/a>, ZeroAccess<\/a>, Alureon<\/a> und\u00a0 Necurs<\/a>.<\/p>\n

Rootkit-Varianten<\/b><\/p>\n

Es gibt zwei Arten von Rootkits: User-Mode-Rootkits und Kerne-Mode-Rootkits. User-Mode-Rootkits werden im gleichen Teil des Betriebssystems gestartet, in dem auch alle installierten Programme laufen. Sie f\u00fchren ihre sch\u00e4dlichen Aktionen aus, indem sie sich in die Prozesse der gestarteten Programme einschleichen oder den Speicherbereich \u00fcberschreiben, den ein bestimmtes Programm nutzt. Diese Rootkit-Variante wird h\u00e4ufiger eingesetzt. Kernel-Mode-Rootkits laufen auf der untersten Ebene des Betriebssystems und geben dem Angreifer die weitreichendsten Privilegien auf dem Computer. Nach der Installation eines Kernel-Mode-Rootkits hat ein Angreifer die komplette Kontrolle \u00fcber einen kompromittierten Computer und kann darauf tun, was er will. Diese Art der\u00a0Malware<\/strong> ist im Normalfall komplexer als User-Mode-Rootkits und deshalb seltener. Diese Art von Rootkit ist auch schwerer zu entdecken und zu entfernen.<\/p>\n

Es gibt zudem einige weniger bekannte Rootkit-Varianten, etwa Bootkits<\/a><\/strong>. Sie ver\u00e4ndern den Bootsektor, die Software, die vor dem Laden des Betriebssytems gestartet wird. In den letzten Jahren kam zudem eine neue Klasse mobiler Rootkits<\/a> auf, die Smartphones attackieren, vor allem Android-Ger\u00e4te. Diese Rootkits sind meist Teil einer sch\u00e4dlichen App<\/strong>, die von einem Drittanbieter-App-Store heruntergeladen wird.<\/p>\n

Infektionsmethoden<\/b><\/p>\n

Rootkits werden auf verschiedene Arten installiert, die h\u00e4ufigste Installationsart ist die Ausnutzung einer Sicherheitsl\u00fccke im Betriebssystem<\/strong> oder einem installierten Programm. Angreifer zielen auf bekannte und unbekannte Sicherheitsl\u00fccken in den Betriebssystemen und Programmen ab, und nutzen Exploit-Code, um auf einem Opferrechner privilegierte Rechte zu erhalten. Dann installieren sie das Rootkit und Komponenten, die entfernten Zugriff auf den Computer erm\u00f6glichen. Der Exploit<\/strong>-Code f\u00fcr eine bestimmte Sicherheitsl\u00fccke kann zum Beispiel auf einer legitimen Webseite liegen, die vom Angreifer infiziert wurde. Eine andere Infektionsmethode funktioniert \u00fcber USB-Sticks. Angreifer lassen dabei USB-Sticks mit versteckten Rootkits an \u00f6ffentlichen Pl\u00e4tzen liegen, so dass sie von potenziellen Opfern gefunden und mitgenommen werden. Manchmal ben\u00f6tigt die Rootkit-Installation dennoch Sicherheitsl\u00fccken<\/strong>, aber recht oft installiert sich das Schadprogramm als Teil von anscheinend legitimen Programmen oder Dateien auf dem USB-Stick.<\/p>\n

Entfernung<\/b><\/p>\n

Ein Rootkit auf einem PC zu entdecken ist nicht leicht, da diese Art Schadprogramm genau darauf ausgelegt ist, sich zu verbergen und seiner Arbeit im Hintergrund nachzugehen. Es gibt Programme, die mit verschiedenen Methoden nach bekannten und unbekannten Typen von Rootkits suchen, unter anderem mit Signaturen und Verhaltensanalyse, die versucht, Rootkits anhand ihrer Verhaltensmuster zu erkennen. Das Entfernen eines Rootkits<\/strong> ist ein komplexer Prozess und ben\u00f6tigt im Normalfall spezielle Software, etwa den TDSSKiller<\/a> von Kaspersky Lab, der das TDSS-Rootkit entdecken und entfernen kann. In manchen F\u00e4llen kann es n\u00f6tig werden, das Betriebssystem neu zu installieren, wenn der Computer zu besch\u00e4digt ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Rootkits gibt es nun schon seit fast 20 Jahren. Sie erlauben Angreifern, Daten von infizierten Computern zu stehlen, und bleiben dabei lange Zeit unentdeckt. Der Begriff wird im weitesten Sinne<\/p>\n","protected":false},"author":32,"featured_media":854,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[345,347,346],"class_list":{"0":"post-853","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-rootkit","9":"tag-rootkit-entfernung","10":"tag-tdss"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/was-ist-ein-rootkit\/853\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/rootkit\/","name":"Rootkit"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/853","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=853"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/853\/revisions"}],"predecessor-version":[{"id":21521,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/853\/revisions\/21521"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/854"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=853"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=853"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=853"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}