|
  |
 Rootkits, eine weniger bekannte Gefahr  |
MoG 
Administrator
Dabei seit: 06.10.2005
Beiträge: 425
Herkunft: Fischbach (Kr. Kaiserslautern)
 |
|
| Rootkits, eine weniger bekannte Gefahr |
     |
Hallo Leute.
Wie ich selbst erst vor einigen tagen erfahren habe, ist die Gefahr der Rootkits nur wenigen bekannt, geschweigedenn der Weg, diese wieder loszuwerden.
Wie weit verbreitet? Nun, ihr kennt doch diese Windows-Abfrage nach einem Fehler "Problembericht senden"... über diese Berichte hat eine Mircosoft-Statistik ergebn, dass jeder fünfte Windowsrechner mehrere Rootkits beherbergt.
Wie funktioniert so ein Rootkit?
Rootkits sind dafür bekannt, dass sie sich zwischen in die Kommunikation zwischen Anwendungen und dem Betriebssystem einmischen. Wenn das System über diesen Kommunikationsweg Daten verlangt, kann ein Rootkit diese abfangen und je nach seiner programmierung verändern/manipulieren.
Rootkits können das System so verändern, dass sie sich selbst in den Kern von Windows einschreiben (Kernel) und dort letztendlich verschwinden. So können sie weder vom Windows-Explorer, noch von sonstigen Dateimanagern aufgespürt werden.
In dieser Position können Rootkits Tore für andere Schädlinge öffnen, so z.B. Trojaner. Noch schlimmer ist, sie selbst können diese Tore öffnen, das Tor auflassen und sich selbst wieder löschen. Da stellt man sich eine Frage...
Warum erkennt/erkannte mein Virenscanner das Mistvieh nicht?
Ein Virenscanner untersucht z.B. EXE-Dateien auf dem PC und vergleicht diese mit seiner Signaturdatenbank. Erkennt das Programm eine Identität, wird diese markiert und der Benutzer weiß bescheid.
Anfangs sahen die Antiviren-Softwareentwickler in den Rootkits keine Gefahr, denn: Auch die Rootkits kamen vor knapp einem Jahr noch als EXE auf den PC, wurden also von Antivirenprogrammen abgefangen.
Was passiert aber, wenn diese Rootkit.EXE nicht inder Virendatenbank enthalten ist? Nun, das Teil vergräbt sich im Kernel, installiert einen Trojaner und löscht sich anschließend selbst. Sie können sich einfach zu gut verstecken, aber es gibt immer eine Lösung:
Wie werde ich so ein Rootkit wieder los?
Vornweg ein Problem, das ihr kennen solltet: Da sich ein Rootkit in die Kommunikation zwischen Betriebssystem und der Anwendung einschreibt, würde das einfache Löschen dieses Rootkits (sofern es denn so einfach aufzufinden ist) böse folgen mitsich ziehen.
Stellt es euch vor wie ein Kabel, an einer Stelle ist ein Knoten. Mit schlechten Programmen schneidet ihr einfach den störenden Knoten hereaus, was habt ihr? ein zerschnittenes Kabel, das einem nichts mehr bringt. Genauso ist es mit manchen Anti-Rootkitprogrammen. Sie lassen zwei lose Enden zurück, wodurch im schlimmsten fall das ganze System gestört ist.
Gute Programme flicken diese Schnittstelle und stellen so die verbindung wieder her.
Programm zum Rootkits-aufspüren
Blacklight - sehr zu Empfehlen. Es gehört zu den Programmen, die die Schnittstellen wieder reparieren, kann also ohne Bedenken eingesetzt werden.
Auf PC-Welt sind noch einige andere nützliche Programme verlinkt, ich halte Blacklight aber für sehr gut ^^
Wie bei den meisten anderen Gefahren gilt: Kein Angriff ist perfekt, es liegt an eurem Leichtsinn. Wer keine unbekannten Dateianhänge etc. öffnet sollte außer Gefahr sein 
MfG MoG
__________________
|
|
Montag, 23.Januar 2006 18:36 |
|
|
Mac
Super Moderator
Dabei seit: 07.10.2005
Beiträge: 205
Herkunft: Moers (Kr. Wesel)
|
|
Mir scheint es fast so, als gäbe es jede Woche eine neue, zumindest mir bisher unbekannte Bedrohung. Ich meine, um mich auf das konkrete Thema hier zu beziehen, ich habe diesem "Windows-Fehlerbericht" so oder so nie getraut (auf zweierlei Hinsicht: Eben diese etwaigen unsicheren Verbindungen zu Microsoft, oder die korrupte Verwendung der gesendeten Daten... Verbraucherschutz hin oder her, Microsoft scheint in gesetzlichen Fragen über Gott zu stehen), und jetzt so ein Exploit... na fantastisch, jetzt kann man mit Windows gar nichts mehr anfangen ;P
Trotz alledem - ich habe bereits öfters diese Problemberichte verschickt und auch nicht sonderlich auf Dateianhänge aufgepasst (unvorsichtig war ich selbstverständlich auch nicht) und obwohl ich "nur" SpyBot und AntiVir (sowie Norton für Archive und ähnliches) benutze, sind mir bisher seit ich eben diese Programme habe kein einziger Virus, Trojaner, Wurm oder was auch immer untergekommen - bis auf die alltäglichen, system-eher-ungefährlichen Dailer, aber wofür hat man denn SpyBot...
Blacklight... Schutzprogramme spezialisiert auf ein einzelnes Problem? Mal sehen, ob ich mich auf diesen zusätzlichen Schutz "einlasse", aber wahrscheinlich ist das ganze einen Blick wert (als Außenstehender in all diesen... Fachthemen sieht man jene "Gefahren" doch eher nüchtern ;P).
- Mac
__________________
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Mac: 23.01.2006 20:20.
|
|
|
Montag, 23.Januar 2006 20:16 |
|
|
MoG
Administrator
Dabei seit: 06.10.2005
Beiträge: 425
Herkunft: Fischbach (Kr. Kaiserslautern)
Themenstarter 
|
|
Du schlitterst ziemlich am Thema vorbei ^^
1. Die Sache mit dem "Windows - Problembericht senden" hat überhaupt nichts mit der von mir genannten Gefahr zu tun. Es ging nur darum, wie diese Statistik (jeder fünfte Rechner hat nen Rootkit) zustande kommt.
Es ist also kein wirklicher Epxloit, schon garkeine Gefahrenquelle. In Sachen Datenschutz... naja, es dient der Marktforschung speziell von Mircosoft, das steht aber in den Lizensbedingungen lieber Mac 
Gates steht also ausnahmsweise nicht über Gott.
2. Das verwenden von Firewall und Antiviren-Programm ist in der heutigen Zeit selbstverständlich. Daher verstehe ich den Sinn deines vorletzten Abschnittes nicht. Rootkits kommen eben durch genau diese gesicherten Lücken durch, auch wenn es immernoch einen unerfahrenen Anweders bedarf, der diese beschädikte EXE ausführt.
3. Blacklight bietet noch einige andere Funktionen, diese lagen aber außerhalb des Themas, hab sie deswegen nicht erwähnt.
Meine Empfehlung ist, das Programm runterladen, installieren, ein- oder zweimal ausführen und dann, wenn alles sauber ist, wieder deinstallieren. Ich fand die Statistik einfach nicht besodners gut und dachte mir "hey, vorbeugen und Gewissheit haben ist besser, als an nem beschädigten PC zu arbeiten/spielen"
[quote]als Außenstehender in all diesen... Fachthemen sieht man jene "Gefahren" doch eher nüchtern ;P[/quote]
imho eine sehr gefährliche Einstellung. Mich würde es nicht wundern, wenn du zu diesen jeder-fünfte-rechner gehörst
Ich les mir auch nicht jeden Virenbericht und jeden Artikel über neu entdeckte Trojaner durch.
Aber einige Artikel über diese Rootkits auf der Microsoft-Homepage und einigen anderen PC-Foren geben doch zu denken ^^°
MfG MoG
__________________
|
|
|
Dienstag, 24.Januar 2006 13:33 |
|
|
Mac
Super Moderator
Dabei seit: 07.10.2005
Beiträge: 205
Herkunft: Moers (Kr. Wesel)
|
|
Wie gesagt, mir fehlt das Fachwissen auf diesem Bereich - und ohne dieses, ohne die Möglichkeit, etwas hinzuzufügen, muss man eben etwas... "abweichen", improvisieren^^'
Oh, ich scheine wirklich blind zu werden^^
[quote]Wie weit verbreitet? Nun, ihr kennt doch diese Windows-Abfrage nach einem Fehler "Problembericht senden"... über diese Berichte hat eine Mircosoft-Statistik ergebn, dass jeder fünfte Windowsrechner mehrere Rootkits beherbergt.[/quote]
Jaja, ich kann eben nicht lesen xD Entschuldige^^
Nun gut, ich nehme die Anklage zur Unsicherheit des ganzen zurück, da unbegründet... aber immerhin - in dem, was ich gelesen habe, ließ sich diese Gefahrenquelle recht simpel vermeiden, gnarf...
[quote]imho eine sehr gefährliche Einstellung. Mich würde es nicht wundern, wenn du zu diesen jeder-fünfte-rechner gehörst[/quote]
Soweit ich weiß, ist meiner eine Nr. 4, aber knapp ist es schon, das stimmt... Nun, dann werde ich Blacklight einfach mal runterladen und dann weitersehen ^^
EDIT:
Ein 600 kb Download, sehr nett^^
Und schnell geht es auch noch, nett, nett... zum Glück wurde nichts gefunden, auch nach dem zweiten Scan nicht, also gehört mein kleiner Computer doch noch zu den... "uninfizierten", aber danke für die Gewissheit, Mog^^
- Mac
__________________
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Mac: 24.01.2006 16:36.
|
|
|
Dienstag, 24.Januar 2006 16:31 |
|
|
Azrael
Emporkömmling
Dabei seit: 11.10.2005
Beiträge: 35
Herkunft: NRW
|
|
Nix gefunden...^^
Sitzt halt hinter einem m4d ub3r 1337 Firewall! xD
Naja. Bin ja auch vorsichtig und lad nicht jeden Scheiß runter oder klicke mir unbekannte EXE an.
Problemberichte sende ich eh net...kA was die noch alles schicken, deshalb hab ich den Dienst gleich ausgestellt und noch einige andere Sachen die Daten an M$ schicken...
(Das größte Spyware aller Zeiten: Windows XP xD)
Hab jetzt ein paar mal gescannt und nix gefunden und kann deshalb nicht sagen ob Blacklight gut ist oder net.
__________________
Realität ist etwas für Leute, die nicht mit Spielen umgehen können. ^^
|
|
|
Dienstag, 24.Januar 2006 22:43 |
|
|
Winyett Grayanus
Emporkömmling
Dabei seit: 10.10.2005
Beiträge: 30
Herkunft: Chaos, Discord & Confusion
|
|
| RE: Rootkits, eine weniger bekannte Gefahr |
|
[quote]Original von Master of Games
Wer keine unbekannten Dateianhänge etc. öffnet sollte außer Gefahr sein
[/quote]
Nö, auch wenn man so etwas nicht öffnet (was sowieso nicht die eigentlich "Gefahr" darstellt") wird man immer noch genügend Rootkids auf seinem PC haben ~ vorausgesetzt, man kauft Sony-CDs.
Meine Hardware-Firewall schützt mich prima, außerdem benutzte ich meine eigene Blacklist, die ich selbst regelmäßig aktualisiere, um gar nicht erst etwas reinzulassen. Nichts ist besser, als ein gutes Stück selbst geschriebener Software.
Rootkids sehe ich als nicht gefährlich an...eher als ein wenig amüsant, da meist stümperhaft gecodet.
[quote]Nun, ihr kennt doch diese Windows-Abfrage nach einem Fehler "Problembericht senden"... über diese Berichte hat eine Mircosoft-Statistik ergebn, dass jeder fünfte Windowsrechner mehrere Rootkits beherbergt.[/quote]
Unverschämte Spionage/Nase in Dinge stecken, die einen nichts angehen?
__________________
And that's all...?
|
|
|
Freitag, 27.Januar 2006 19:17 |
|
|
|
|
|
|
|
