So verstecken Hacker Trojaner und Cheats
Unsichtbare Gefahren durch Rootkits

SicherheitSicherheitsmanagement

Die aktuelle PC-Bedrohung: Mit gravierenden Eingriffen in das Betriebssystem machen Rootkits gefährliche Programme, Registry-Einträge oder Prozesse unsichtbar. Selbst Virenscanner und andere Security-Tools sind größtenteils machtlos.

Rootkits werden zum Problem der Zukunft

So verstecken Hacker Trojaner und Cheats

Skandale haben manchmal auch etwas Gutes. So hat der umstrittene CD-Kopierschutz XCP von Sony BMG das öffentliche Bewusstsein für die Gefahren von Rootkits weitaus stärker geschärft als viele Fachartikel der Jahre zuvor.

Kein Schüler, keine kriminelle Vereinigung, sondern ein großes Plattenlabel versteckt in diesem Fall mit Hilfe dubioser Hackertechniken unbemerkt Dateien auf der Festplatte des ehrlichen Käufers. Dabei nimmt XCP (Extended Copy Protection) tiefgreifende Änderungen im System vor. Unter anderem installiert es einen Autostart-Treiber, der sogar bei einem Start im abgesicherten Modus geladen wird. So sollen unerlaubte Kopien der CD verhindert werden gleichzeitig belastet es Systemressourcen wie Prozessorzeit und destabilisiert den betroffenen Rechner.

Aber auch die Autoren von Malware setzen auf Rootkit-Technologie, um sich unerkannt im System einzunisten. So etwa die Spyware Elite Toolbar, die Formulardaten wie E-Mail-Adressen und Kreditkarteninformationen an verschiedene IP-Adressen verschickt. Auch Trojaner wie Berbew und die Netzwerk-Würmer Myfip und Maslan verstecken sich mit Tarnkappen-Code im PC. Mikko Hypponen, Chef des Antivirenlabors der Firma F-Secure, warnt bereits seit einiger Zeit, dass sich Rootkits in den nächsten Jahren zu einer großen Gefahr für Windows-Systeme entwickeln könnten.


Angriff auf Windows

So verstecken Hacker Trojaner und Cheats

Rootkits haben ihren Ursprung in der Unix-Welt: Bereits im vergangenen Jahrzehnt versuchten unliebsame Zeitgenossen, dem Administrator präparierte Programmversionen unterzuschieben, um Root-Rechte zu erlangen oder die Anwesenheit unerwünschter Dateien oder Prozesse zu verbergen. Solche dateibasierten Rootkits bilden zum Beispiel einen ls-Befehl (analog dazu unter Windows einen dir-Befehl) zum Auflisten von Verzeichnisinhalten nach, der bestimmte Dateien nicht anzeigt.

Moderne Windows-Rootkits arbeiten nicht auf Dateiebene, sondern klinken sich tiefer ins kompromittierte System ein. Einige biegen Windows-API-Calls auf eigene Routinen um, die die zurückgegebenen Daten etwa ein Verzeichnislisting oder eine Liste laufender Prozesse nur gefiltert weiterleiten. Andere setzen noch tiefer auf der Treiberebene auf und sind somit schwieriger zu entdecken. Ein manipulierter Festplatten- oder Dateisystemtreiber kann dem Betriebssystem leicht bestimmte Inhalte vorenthalten, ohne dass dies bemerkt wird.

Die meisten Windows-Nutzer öffnen der Installation solcher Rootkits Tür und Tor, indem sie stets mit Administrator-Rechten arbeiten. Richten Sie eingeschränkte Nutzer-Accounts ein und beachten Sie auch die weiteren Tipps in der Checkliste auf Seite 57).


Fertige Rootkit-Baukästen im Netz

So verstecken Hacker Trojaner und Cheats

Wenn Sie sich näher mit der Funktionsweise unterschiedlicher Versteckmethoden beschäftigen möchten, finden Sie auf www.rootkit.com Links zu verschiedenen Rootkits. Vor einer Testinstallation sollten Sie allerdings sorgfältig die Dokumentation studieren, um die Programme später problemlos deaktivieren und deinstallieren zu können. Am besten, Sie führen derart sicherheitskritische Tests in einer virtuellen Umgebung (etwa unter VMware) oder auf einem abgeschotteten Testsystem durch.

Ein weit verbreitetes und bereits sehr mächtiges Rootkit ist der Hacker Defender (http://hxdef.czweb.org). Zu der Programmdatei hxdef100.exe (die beliebig umbenannt werden darf) gehört eine gleichnamige INI-Datei. In ihr legt der Hacker fest, welche Dateien, Verzeichnisse, Registry-Einträge, Prozesse oder offene Ports er vor dem System verstecken möchte. In der Standardeinstellung werden so über den Eintrag hxdef* keine Objekte gelistet, die mit der Zeichenkette hxdef beginnen. Das eingangs erwähnte Rootkit von Sony BMG versteckt analog dazu alle Dateien, Verzeichnisse, Registry-Einträge und Prozesse mit dem Präfix $sys$.

Im Gegensatz zum Hacker Defender, der wie normale Anwendungsprogramme im User-Mode läuft, nimmt es dabei Änderungen am Systemkernel vor. Wie zu erwarten, nutzen inzwischen auch Viren und Trojaner dieses ideale Versteck: Die Windows-Backdoor Breplibot.b etwa schreibt sich als $sys$drv.exe unbemerkt in das Windows-Systemverzeichnis.


Sicherheitsrisiko Musik-CDs

So verstecken Hacker Trojaner und Cheats

Angesprochen auf die Sicherheitsproblematik des XCP-Kopierschutzes äußerte sich Thomas Hesse, Präsident der Sparte Global Digital Business bei Sony BMG, in einem Radio-Interview Anfang November lapidar mit den Worten: »Ich denke, die meisten Leute wissen nicht, was ein Rootkit ist, also warum sollten sie sich darum kümmern?« Einen Mitschnitt dieses Radiobeitrags in englischer Sprache können Sie unter www.npr.org/templates/story/story.php?storyId= 4989260 als Real- oder Windows-Media-Stream anhören.

Ironie am Rande: Zum einen trifft diese Kopierschutzmaßnahme nur die Besitzer von Original-CDs. Und bei all den Bemühungen zur Wahrung der eigenen Urheberrechte hatte Sony BMG selbst allem Anschein nach Copyrights gebrochen, indem Teile von Open-Source-Software beim XCP-Kopierschutz zum Einsatz kamen.


Sony BMG lenkt ein

So verstecken Hacker Trojaner und Cheats

Doch auch Sony BMG hat inzwischen Fehler eingeräumt und stellt mittlerweile eine Deinstallationsroutine für XCP unterhttp://cp.sonybmg.com/xcp bereit. Deren allererste Version hinterließ jedoch eine ActiveX-Komponente namens CodeSupport im System, über die die Remote-Ausführung von fremdem Code möglich ist (www.freedom-to-tinker.com/?p=927). Ob sich diese Komponente auf Ihrem System befindet, prüfen Sie auf der Seite www.cs.princeton.edu/~jhalderm/xcp/detect.html. Falls ja, entfernen Sie sie, indem Sie Start/Ausführen wählen und den Kommandozeilenbefehl

cmd /k del ?%windir%\Downloaded Program Files\codesupport.*?eintippen.

Um auf Nummer sicher zu gehen, setzen Sie ein Kill-Bit für dieses Steuerelement. Dazu starten Sie den Registrierungseditor (Start/Ausführen/regedit) und suchen nach dem Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EA7C4C5-C5C0-4F5C-A008-8293505F71CC}

Der letzte Wert in geschweiften Klammern ist die Klassenkennung (CLSID) der fraglichen Komponente. Ändern Sie nun den Wert des Eintrags Compatibility Flags auf 0x00000400 (Dezimalwert: 1024).

Während Sony BMG anfangs von nur rund 20 betroffenen CDs sprach, wurde inzwischen eine Liste von 52 betroffenen Alben veröffentlicht (http://cp.sonybmg.com/xcp/english/titles.html).

Entgegen anders lautender Aussagen sind auch Käufer in Deutschland von dem Problem betroffen. Kunden von Amazon können die dort gekauften XCP-CDs per Retourenschein zurückschicken und bekommen den Kaufbetrag plus Porto erstattet. Aber auch wer die Datenspur am Rand der CD mit einem Aufkleber abdeckt, bleibt von den Eingriffen ins System verschont. Alternativ deaktiviert man einfach die Autostart-Funktion oder hält beim Einlegen der CD die Shift-Taste gedrückt.


Tools gegen unsichtbare Gäste

So verstecken Hacker Trojaner und Cheats

Viele Virenscanner erkennen inzwischen die gängigsten Rootkits. F-Secure bietet sein Programm Blacklight unter www.f-sec
ure.de/blacklight auch einzeln an. Damit scannen Sie Ihr System nach versteckten Prozessen und Verzeichniseinträgen und löschen diese im nächsten Schritt. Etwas langsamer scannt der Rootkit Revealer die Registry und ausgewählte Verzeichnisse auf verdächtige Einträge. Die Entfernung der Schädlinge muss hier jedoch manuell erfolgen.

Auch Microsoft arbeitet bereits an einer Software zur Rootkit-Erkennung namens Strider Ghostbuster (research.microsoft.com/rootkit). Die prinzipielle Vorgehensweise aller Rootkitjäger: Sie fordern die gewünschten Informationen zu Verzeichnisinhalten oder laufenden Tasks einerseits über die Abstraktionsschicht der Windows-API und zum Vergleich nochmals über systemnahe Funktionsaufrufe an. Unterschiede weisen auf die Aktionen eines Rootkits hin.

Intel hingegen setzt auf einen Hardwareschutz: Wie der Chiphersteller vor kurzem angekündigt hat, soll ab 2008 ein in Mainboards integrierter Chip verdächtige Manipulationen im Hauptspeicher erkennen und somit auch vor Rootkits warnen.

Da Rootkits meist nur als Versteck für die eigentlich schadbringenden Programme dienen, sollte nach der Entdeckung und Reinigung zumindest ein gründlicher Check des Systems durch Antiviren- und Antispyware-Scanner vorgenommen werden. Noch besser ist in jedem Fall eine Neuinstallation von Windows. Damit Ihr System dann frei von Eindringlingen bleibt, beachten Sie die Sicherheitstipps im Kasten rechts.