c't: Wie Rootkits Antiviren-Software austricksen

Hannover, 9. Dezember 2005 - Die nächste Generation von Computer-Viren wird sich noch raffinierter vor Schutzprogrammen verstecken. Durch so genannte Rootkits haben herkömmliche Virenscanner fast keine Chance mehr, Schädlinge aufzuspüren, so das Computermagazin c't in der aktuellen Ausgabe 26/05.

Sony BMG legte seinen Kunden ein echtes Kuckucksei: Eine kopiergeschützte Audio-CD installierte beim Abspielen am Computer ohne Einwilligung des Anwenders zusätzliche Software, die unter anderem Dateien versteckt. Hinter solchen Rootkits können sich auch Computerschädlinge verstecken, um ihre Anwesenheit vor Anwendern und Schutzsoftware zu verbergen. Das Vorgehen von Sony BMG führte in Fachkreisen zu großer Empörung, der Konzern versprach, die betroffenen CDs aus dem Handel zu nehmen.

Rootkits nisten sich tief in das Betriebssystem ein. Kein einziger von 15 Virenwächtern hat im c't-Test durch Rootkits versteckte Viren entdeckt. Um spezielle Anti-Rootkit-Software zu nutzen, sind detaillierte PC-Kenntnisse nötig, für den Normalanwender also keine Alternative. Besteht aber der Verdacht, dass ein System mit einem Rootkit präpariert wurde, sollte man seinen Rechner mit einem garantiert schädlingsfreien Betriebssystem von CD starten. Die Tarnkappen können eventuell versteckte Viren oder Würmer dann nicht mehr verdecken, so dass ein aktueller Virenscanner sie aufstöbern und vernichten kann. Wenig hilfreich sind dabei die meisten Rettungs-CDs, die Virenscanner-Hersteller ihren Programmen beilegen. "Unser Test zeigt, dass funktionsfähige Rettungs-CDs leider immer noch eher die Ausnahme als die Regel sind", erläutert c't-Experte Jürgen Schmidt. Stattdessen empfiehlt er eine saubere Boot-CD wie Knoppicillin oder Bart PE.

Wer sich gegen Rootkits schützen will, sollte sie am besten erst gar nicht auf sein System lassen. Dabei helfen regelmäßige Sicherheits-Updates, ein aktueller Virenscanner und vor allem das konsequente Arbeiten ohne Administratorenrechte, ohne die sich ein Rootkit nicht im System einnisten kann.

Ursprünglich stammen Rootkits aus der Unix-Welt. Bereits in den frühen siebziger Jahren entwickelten Hacker Techniken, um ihre Anwesenheit vor den Administratoren der Systeme zu verbergen, in die sie eingedrungen waren. (ju)

Bildmaterial: Das Titelbild der aktuellen c't-Ausgabe 26/2005 steht zum Download bereit.

Hinweis für Hörfunkredaktionen: Ein Radiobeitrag zu diesem Thema sowie O-Töne von c't-Redakteur Jürgen Schmidt sind unter 05 11/2 79 15 60 beim c't-Hörfunk-Service abrufbar. Unter www.radioservice.de steht das Angebot für akkreditierte Hörfunkredakteure auch im MP3-Format zum Download bereit.

Ihre Ansprechpartnerin für Rückfragen

Anja Reupke
Heise Medien Gruppe
Presse- und Öffentlichkeitsarbeit
Telefon: +49 [0] 511 5352-561
Telefax: +49 [0] 511 5352-563
anja.reupke@heise-medien.de