Rootkit-Jäger im Test
Virenjagd im Labor

SicherheitSicherheitsmanagement

Versteckte Rootkits bedrohen die Sicherheit von Windows-PCs. Aktuelle Virenscanner sind teilweise machtlos gegen die Schädlinge.

Rootkits greifen tief ins System ein

Rootkit-Jäger im Test

Der neueste Trick im Versteckspiel zwischen Virenprogammierern und Sicherheitsfirmen sind Rootkits. Diese Programme manipulieren das Betriebssystem so, dass bestimmte Dateien, Registry-Einträge oder Prozesse für Systemprogramme wie Windows Explorer, Registrierungseditor oder Taskmanager unsichtbar werden. Damit ist es leicht, unbemerkt schädlichen Code auf dem PC einzuschleusen. Neben Trojanern wie Breplibot oder dem Feebs-Wurm versteckt sich vor allem Spyware mit Rootkits. Sony BMG machte sich diese Technik für seinen umstrittenen und mittlerweile zurückgezogenen XCP-Kopierschutz zunutze.

Im Gegensatz zu Viren, deren Code von einem Scanner fälschlicherweise als sauber eingestuft wird, sitzt das Problem bei Rootkits wesentlich tiefer: Wenn die betreffende Datei übersehen wird, hat Malware leichtes Spiel. Die ersten sechs Antivirenprogramme aus dem PCpro-Vergleichstest in Ausgabe 1/2006 müssen daher im Testlabor ihre Anti-Stealth-Fähigkeiten beweisen.


Einfaches Rootkit: Hacker Defender

Rootkit-Jäger im Test

Zu Beginn konfrontieren die Tester die Antivirenprogramme mit dem einfachen Rootkit Hacker Defender, das im User-Mode von Windows arbeitet. Die Programmdateien des Rootkits selbst erkennen alle Scanner im Test, solange das Rootkit noch nicht aktiviert ist. Auch melden alle Wächter die Gefahr beim Aufruf von Hacker Defender.

Die eigentliche Aufgabe steht den Kandidaten jedoch noch bevor: Ein von allen Virenscannern erkanntes Exemplar des Netsky.C-Wurms verstecken die Tester, indem sie das Rootkit aktivieren und der verseuchten Datei die Zeichenkette hxdef voranstellen. Weder der Windows-Explorer noch der dir-Befehl im DOS-Fenster zeigt die Datei dann noch an. Geradezu skandalös ist aber, dass die Programme von GData, McAfee und Panda sowie das neue Antivir den Schädling nicht mehr aufspüren. F-Secure Anti-Virus bringt bei einem Scan über alle Laufwerke (Festplatten nach Viren scannen) auch keine Meldung erst bei der Option Computer vollständig überprüfen oder Rootkits nach Spyware scannen wird er fündig.

Norton Antivirus identifiziert Netsky trotz Tarnkappe auf Anhieb. Nur die Bildschirmausgabe stiftet etwas Verwirrung: Im Test meldet der Scanner sechs verbleibende Risiken, zeigt aber nur eines davon an (eine ungetarnte Datei). Nach deren Entfernung verbleiben angeblich noch fünf Risiken, während laut einer anderen Meldung alle behoben seien (siehe Bilder rechts). Letzteres stellt sich bei einer Überprüfung als korrekt heraus, alle Schadprogramme wurden beseitigt.


XCP-Kopierschutz: Gefährliche CDs

Rootkit-Jäger im Test

Der umstrittene XCP-Kopierschutz von Sony BMG gelangte auf einigen CDs auch in den deutschen Handel. Eine Liste der 52 betroffenen Alben finden Sie unter http://cp.sonybmg.com/xcp/english/titles.html. Gleich vorab: Bei einem Scan über die Programmverzeichnisse auf einer solchen CD meckert keiner der getesteten Scanner die XCP-Installationsdateien an. Allerdings warnen Norton, F-Secure und Panda bereits bei der Installation des Players, der unter Windows für das Abspielen der Songs der CD nötig ist.

Seine Anwesenheit verschleiert der Kopierschutz, indem er alle mit $sys$ beginnende Dateien ausblendet. Durch entsprechende Umbenennung machen die PCpro-Tester auch den Netsky-Wurm unsichtbar. So getarnt, erkennen ihn nun nur noch McAfee, F-Secure und Norton. Bei F-Secure ist dafür wieder eine Komplettprüfung oder ein gezielter Scan nach Rootkits nötig.


Feebs: E-Mail-Wurm mit Tarnkappe

Rootkit-Jäger im Test

Seit Anfang dieses Jahres verbreitet sich der Wurm Feebs alias Kmax über das Internet. Er verschickt sich per Mail und kopiert sich in Shared-Verzeichnisse von Filesharing-Applikationen. Auch er betreibt Camouflage mit Hilfe von Rootkit-Techniken.

Sowohl alle getesteten Scanner als auch Wächter erkennen diesen recht verbreiteten Schädling, solange er noch nicht aktiv ist. Im System installiert, versteckt er im Windows-Explorer alle ZIP-Dateien, deren Name auf new!_full+crack.zip endet (im DOS-Fenster macht sie der dir-Befehl hingegen sichtbar). Einen so versteckten Netsky-Wurm spüren McAfee und F-Secure auf. Unter GData und Norton weigert sich Feebs im Test, seine Rootkit-Aktivitäten zu entfalten. Umgekehrt bekommen die Tester diese beiden Programme nach der Installation auf einem mit Feebs infizierten System nicht zum Laufen der Wurm wehrt sich aktiv gegen bestimmte Antiviren-Software.

Fazit: Beim Aufspüren von Rootkits überzeugen nur F-Secure Anti-Virus und Norton Antivirus. Das übrige Testfeld lässt sich bereits durch ein einfaches Rootkit wie Hacker Defender blenden. Daher ist es ratsam, seinen Rechner zusätzlich mit speziellen Rootkit-Tools zu überprüfen.