An Viren, Trojaner und Würmer haben sich die meisten Internetnutzer gewöhnt und schützen sich durch ein Anti-Viren-Programm. Es entwickeln sich jedoch neue Gefahren für den heimischen PC, denen ebenfalls begegnet werden muss: Eine davon sind sogenannte Rootkits.

Rootkits sind Tarnkappen für Viren und Trojaner, sie können die Präsenz von beliebigen Programmen verschleiern. Einige Rootkits können zudem Hintertüren zum PC offen halten, durch die ein Angreifer die Kontrolle über den befallenen Rechner an sich reißen kann. PCFreunde.de erklärt, was ein Rootkit ist und wie man gegen diese neue Bedrohung vorgeht.

Von Jan Fabian Krüger

Der Begriff Rootkit leitet sich aus der Unix-Welt her. „Root“ bezeichnet auf Unix-Computern das Standard-Administratorkonto. Über das root-Konto hat man volle Gewalt über den Computer, anders als über ein user-Konto, das nur eingeschränkte Rechte hat. „Kit“ bedeutet soviel wie „Werkzeugkasten“. Ein Rootkit ist also ein Satz von Werkzeugen und Methoden, mit dem man sich uneingeschränkte Gewalt über einen Computer erschleichen kann.

Ursprünglich waren Rootkits Befehlssammlungen aus der Unix-Welt, die durchaus ehrbaren Zwecken dienten. Inzwischen gibt es aber auch für Windows-Betriebssysteme verschiedene Rootkits, deren Fähigkeiten deutlich über die der ersten Unix-Rootkits hinausgehen. Und diese Fähigkeiten werden vor allem für betrügerische Zwecke eingesetzt.

Der Zweck aller Rootkits ist es, Systemprozesse, Dateien und Verzeichnisse zu verbergen. Was von einem Rootkit verborgen wurde, ist für keinen Nutzer mehr aufzuspüren. Nichtsdestoweniger können die versteckten Dateien ausgeführt und versteckte Prozesse gestartet werden. Hat sich ein Rootkit auf einem Computer eingenistet, kann es dort also tun, was es will, ohne dass der User davon etwas merken kann.

Diese fast magisch anmutende Leistung vollbringen Rootkits, indem sie sich zwischen normale Systemprozesse zwängen. Sie fangen alle Prozesse ab, durch die sie verraten werden würden und verändern sie so, dass sie eben nicht verraten werden. Für den Nutzer des befallenen PCs ist nicht zu erkennen, dass sich überhaupt etwas verändert hat.

Das in der Windows-Welt verbreitetste Rootkit „Hacker Defender“ hat zusätzlich zur Tarnkappen-Funktion noch eine weitere Gemeinheit auf Lager: Es stellt eine verborgene Hintertür bereit. Gemeint ist eine Shell, die geöffnet wird, wenn eine Anfrage an einen bestimmten Port des befallenen Rechners geschickt wird. So kann ein Angreifer von außen auf den befallenen Computer zugreifen und auf diesem tun und lassen, was er will.