28946778537
academy
Sicherheit
Sicherheit
Alle Artikel zum Thema Sicherheit anzeigen
Privatsphäre
Privatsphäre
Alle Artikel zum Thema Privatsphäre anzeigen
Leistung
Leistung
Alle Artikel zum Thema Leistung anzeigen
Sprache auswählen
Sprache auswählen
Avast Academy Sicherheit Malware Was ist ein Rootkit und wie entfernt man es?

Was ist ein Rootkit und wie entfernt man es?

Ein Rootkit ist eine verborgene und gefährliche Art von Malware, mit der Hacker ohne Ihr Wissen auf Ihren Computer zugreifen können. Aber glücklicherweise können auch diese fast unsichtbaren Softwareteile gefunden und entfernt werden. Erfahren Sie mehr über die verschiedenen Arten von Rootkits, wie Sie sie erkennen und wie Sie sie mit intelligenter Anti-Malware-Software wie Avast One, die über einen integrierten Rootkit-Scanner und -Entferner verfügt, von Ihrem Gerät entfernen.

PC-editors-choice-icon
2021
Editors' choice
tech-radar-icon
2021
Editor's choice
PCW-icon
2022
Testsieger
Rootkit-Hero

Was ist ein Rootkit?

Ein Rootkit ist Schadsoftware, die unbefugten Zugriff auf einen Computer oder andere Software ermöglicht. Rootkits sind nicht leicht zu erkennen und können ihre Anwesenheit in einem infizierten System verbergen. Hacker können Rootkit-Malware verwenden, um aus der Ferne auf Ihren Computer zuzugreifen, ihn zu manipulieren und Daten zu stehlen.

Hamburguer menu icon

Dieser Artikel enthält:

    Wenn ein Rootkit zuschlägt, wird Ihr Computer zu einer Art Zombie-Computer, und der Hacker kann per Fernzugriff die absolute Kontrolle über Ihr Gerät ausüben. Genau durch diese Eigenschaften sind Rootkits so gefährlich.

    Genau wie dateilose Malware legitime Programme verwendet, ohne Spuren zu hinterlassen, können auch Rootkits unverdächtig erscheinen, da der Hacker privilegierten Zugriff auf Systemdateien und Systemprozesse hat. Rootkits sorgen dafür, dass Ihr Computer nicht nur Ihnen, sondern manchmal auch Antiviren- und Sicherheitssoftware etwas vormacht.

    Was macht ein Rootkit?

    Durch Rootkits kann sich schädlicher Code auf Ihrem Gerät verstecken. Nachdem ein Rootkit-Angriff stattgefunden hat, ist der Administratorzugriff aus der Ferne auf praktisch jede Funktion Ihres Betriebssystems möglich, ohne dass das Rootkit selbst erkannt wird.

    Was genau wird durch ein Rootkit verändert? Da der Zweck eines Rootkits darin besteht, privilegierten Administratorzugriff auf Ihr Computersystem zu erhalten, kann ein Rootkit alles ändern, was ein Administrator ändern kann. Hier ist eine kurze Liste der Aktionen oder Änderungen, die durch Rootkits verursacht werden können. 

    • Malware verbergen: Rootkits sorgen dafür, dass andere Malware-Typen auf Ihrem Gerät verborgen bleiben, sodass es schwieriger wird, sie zu beseitigen.

    • Fernzugriff erlangen: Rootkits ermöglichen den Fernzugriff auf Ihr Betriebssystem, ohne dass sie entdeckt werden. Rootkit-Installationen werden immer häufiger mit Betrügereien per Fernzugriff in Verbindung gebracht. 

    • Sicherheitsprogramme manipulieren oder deaktivieren: Einige Rootkits können sich sogar vor den Sicherheitsprogrammen Ihres Computers verstecken oder sie ganz außer Kraft setzen – was die Erkennung und Entfernung dieser Malware erheblich erschwert.

    • Daten stehlen: Cyberkriminelle verwenden Rootkits in der Regel, um Daten zu stehlen. Manche Hacker haben es auf Privatpersonen abgesehen und versuchen, für Identitätsdiebstahl oder eine andere Art von Betrug an die persönlichen Daten zu kommen. Andere wiederum nehmen Unternehmen zu Spionagezwecken oder für Finanzverbrechen ins Visier.

    • Einen permanenten „Hintereingang“ einrichten: Einige Rootkits erlauben das Errichten eines permanenten „Hintereingangs“ zu Ihrem System, der ständig offen ist, damit die Hacker jederzeit wiederkehren können. 

    • Ausspionieren: Rootkits können als Überwachungstools eingesetzt werden, sodass Hacker Sie ausspionieren können.

    • In Ihre Privatsphäre eindringen: Mit einem Rootkit können Hacker Ihren Internetverkehr abfangen, Tastenanschläge aufzeichnen und sogar Ihre E-Mails lesen.

    Wie entfernt man ein Rootkit?

    Ein Rootkit zu entfernen, ist nicht einfach. Da Rootkits sich tief in Ihr Betriebssystem eingraben können, lassen sie sich schwer entdecken. Aber sobald Sie wissen, dass Sie sich eines eingefangen haben, ist es wichtig, dass Sie Ihren Zombie-Computer von der Rootkit-Infektion befreien.

    Schritt 1: Software für die Rootkit-Entfernung ausführen

    Verlassen Sie sich nicht auf Windows Defender oder andere integrierte Sicherheitssoftware, da die meisten Rootkits grundlegende Schutzmechanismen umgehen können. Nutzen Sie für einen vollständigen Schutz spezialisierte Software wie Avast One. Bei Avast wird das weltweit größte Netzwerk zur Bedrohungserkennung mit einem Malware-Schutz auf Basis von maschinellem Lernen in einem ressourcenschonenden Tool zum Erkennen und Entfernen von Rootkits und Abwenden von zukünftigen Online-Bedrohungen kombiniert.

    Avast One scannt Ihren Computer, um Rootkits und andere Arten von Malware zu finden und zu entfernen.Avast One bietet eine Vielzahl von Scans, damit Rootkits und andere Arten von Malware von Ihrem Computer ferngehalten werden.

    Avast One entfernt Rootkit-Viren und verhindert, dass sie erneut zuschlagen können. Bevor also Hacker Ihre Daten stehlen oder privilegierten Zugriff auf Ihren Computer erlangen, führen Sie einen Scan mit Avast durch und entfernen Sie die Malware dauerhaft.

    Schritt 2: Startzeit-Prüfung durchführen

    Moderne Malware verwendet ausgeklügelte Techniken, um der Erkennung durch Antiviren-Software zu entgehen. Sobald ein Betriebssystem ausgeführt wird, können dort vorhandene Rootkits automatisierte Antiviren-Scans überlisten

    Wenn ein Antivirenprogramm das Betriebssystem auffordert, eine bestimmte Malware-Datei zu öffnen, kann das Rootkit den Informationsfluss umleiten und stattdessen eine harmlose Datei öffnen. Es kann außerdem den Aufzählungscode einer Malware-Datei ändern, der zum Speichern und Teilen von Informationen über Malware verwendet wird – wodurch sie bei einem Scan übersprungen wird. 

    Aus diesem Grund ist eine Startzeit-Prüfung wie in Avast One so wichtig. Startzeit-Prüfungen werden während des Startvorgangs Ihres Computers ausgeführt und fangen Rootkits ab, bevor sie aktiv werden können. Der Vorteil einer Startzeit-Prüfung besteht darin, dass sich das Rootkit normalerweise immer noch im Ruhezustand befindet und sich nicht in Ihrem System verstecken kann.

    Schritt 3: Gerät zurücksetzen und Betriebssystem neu installieren

    Wenn auch eine Antivirus-Software und eine Startzeit-Prüfung das Rootkit nicht entfernen können, sichern Sie Ihre Daten, löschen Sie die Geräteinhalte und führen Sie eine Neuinstallation durch. Dies ist manchmal die einzige Abhilfe, wenn ein Rootkit auf Start-, Firmware- oder Hypervisor-Ebene aktiv ist. 

    Für den Anfang müssen Sie wissen, wie Sie eine Festplatte formatieren und eine Festplatte klonen, um Ihre wichtigsten Dateien zu sichern. Möglicherweise müssen Sie Daten vom Hauptlaufwerk C: entfernen, aber Sie können dabei die meisten Daten behalten. Dies ist die letzte Maßnahme, die Sie ergreifen können, um ein Rootkit zu entfernen.

    Sich Rootkits gar nicht erst einfangen

    Am besten wäre es, wenn Sie gar nicht erst in die Bedrängnis kämen, ein Rootkit entfernen zu müssen. Es gibt Maßnahmen, die Sie gleich ergreifen können, damit Sie sich nicht fragen müssen, wie Sie ein Rootkit wieder loswerden. Gewöhnen Sie sich kluge Verhaltensweisen für die Onlinesicherheit an, und Sie sind dem Ziel, von Rootkits verschont zu bleiben, einen Schritt näher.

    • Bei unbekannten Dateien skeptisch sein: Auch Dateien, die von vertrauenswürdigen Kontakten stammen, sollten vor dem Öffnen genau überprüft werden. Öffnen Sie niemals Anhänge von unbekannten Absendern – es könnte sich um Phishing-Angriffe handeln. 

    • Software grundsätzlich aus vertrauenswürdigen Quellen beziehen: Idealerweise direkt vom Hersteller oder aus dem App Store oder Google Play Store. Lesen Sie sich die Nutzungsbedingungen sorgfältig durch, um sicherzugehen, dass niemand damit versucht, ein Rootkit auf Ihrem Gerät zu installieren. 

    • Systemupdates immer so bald wie möglich installieren: Diese Updates enthalten häufig Patches für kürzlich entdeckte Schwachstellen, die Hacker andernfalls ausnutzen können, um auf Ihr Gerät zuzugreifen.

    So erkennen und finden Sie Rootkits

    Wenn ein Rootkit seine Arbeit richtig macht, bemerken Sie seine Anwesenheit gar nicht. Am besten finden und erkennen Sie Rootkits mit einem Rootkit-Scanner und -Entfernungstool wie Avast One. Dieses kostenlose Rootkit-Scan-Tool findet und entfernt nicht nur Rootkits auf Ihrem Gerät, sondern verhindert auch, dass sie in Zukunft installiert werden.

    Für diejenigen, die lieber selbst tätig werden, haben wir ein paar alternative Tipps zum Auffinden eines Rootkits. Es ist nicht so einfach wie die Entscheidung für die beste kostenlose Antivirensoftware – und selbst wenn Sie ein Rootkit entdecken, können Sie es möglicherweise nicht entfernen – aber wir versuchen Sie dabei zu unterstützen.

    Anzeichen für einen Rootkit-Angriff

    Die folgenden Warnsignale können auf das Vorhandensein eines Rootkits auf Ihrem Gerät hinweisen: 

    • Ihr System verhält sich ungewöhnlich: Rootkits ermöglichen es Hackern, das Betriebssystem Ihres Computers zu manipulieren. Wenn sich Ihr Computer seltsam verhält, könnte das ein Hacker sein, der sich eines Rootkits bedient hat.

    • Geänderte Einstellungen: Grundsätzlich sollte Ihr Computer nichts ohne Ihr Einverständnis tun. Über den Fernzugriff mittels Rootkit kann eine unbefugte Person Ihre Einstellungen und Konfigurationen manipulieren. Wenn Sie den Eindruck haben, dass etwas anders ist, besteht möglicherweise Grund zur Sorge.

    • Webseiten/Netzwerkaktivitäten sind instabil: Falls Ihre Internetverbindung plötzlich ungewöhnlich instabil scheint, könnte es sich um mehr als ein vorübergehendes technisches Problem handeln. Wenn ein Hacker ein Rootkit zum Senden oder Empfangen vieler Daten auf Ihrem Computer verwendet, kann die Internetverbindung dadurch verlangsamt werden.

    So finden Sie ein Rootkit

    Wenn Sie den Verdacht haben, dass Ihr Computer infiziert ist, können Ihnen die folgenden Techniken helfen, das Rootkit zu finden:

    • Signatur-Scanning: Computer arbeiten zahlenbasiert. Die Signatur einer Software besteht ebenfalls aus Zahlen und ist eine Darstellung des Programms in Computersprache. Sie können Ihren Computer anhand einer Datenbank mit bekannten Rootkit-Signaturen scannen, um mögliche Rootkits zu identifizieren.

    • Speicherabbild-Analyse: Im Falle eines Absturzes von Windows wird eine Datei namens Speicherabbild oder Absturzabbild erstellt. Experten können dieser Datei die Ursache des Absturzes entnehmen und feststellen, ob er auf ein Rootkit zurückzuführen ist.

    • Suche im Systemspeicher: Sie können den gesamten Systemspeicher des Computers durchsuchen, um Anomalien zu identifizieren. Überprüfen Sie während der Suche alle Eingangspunkte (Zugangspunkte) auf Anzeichen von aufgerufenen Prozessen und überwachen Sie alle importierten Bibliotheksaufrufe von DLLs (Dynamic-Link Libraries). Einige von ihnen verweisen möglicherweise zurück auf andere Funktionen.

    Wie werden Rootkits überhaupt installiert?

    Im Gegensatz zu Computerwürmern und Viren – aber ähnlich wie Trojaner – benötigen Rootkits Hilfe, um auf Ihrem Computer installiert zu werden.

    Hacker verknüpfen ihre Rootkits mit zwei Partnerprogrammen, einem Dropper und einem Loader, die zur Installation des Rootkits verwendet werden. Diese drei Malware-Komponenten bilden zusammen eine sogenannte kombinierte Bedrohung. Sehen wir uns die Tools genauer an, die Rootkits für die Installation einsetzen:

    • Dropper: Der Dropper importiert das Rootkit auf den Computer des Opfers. Der Dropper ist der erste Schritt während der Installation. Sobald das Opfer den Dropper aktiviert, aktiviert dieser wiederum den Loader.

    • Loader: Während der Dropper ausgeführt wird, installiert der Loader das Rootkit auf dem Zielsystem. Loader führen dies häufig mit einem Pufferüberlauf durch. Hierbei handelt es sich um eine weit verbreitete Sicherheitslücke, die es Hackern ermöglicht, ihren Code in ansonsten unzugängliche Bereiche des Speichers eines Computers einzuschleusen.

    Rootkits sind mit einem „Dropper“ und einem „Loader“ verknüpft, die den Rootkit-Angriff gemeinsam durchführen.Rootkits sind mit einem „Dropper“ und einem „Loader“ verknüpft, die den Rootkit-Angriff gemeinsam durchführen.

    Die Herausforderung für die Cyberkriminellen besteht darin, das kombinierte Bedrohungspaket auf Ihrem Computer zu platzieren. Hier sind einige Möglichkeiten, die sie anwenden könnten:

    • Messaging-Programme kapern: Instant-Messaging-Clients können gekapert werden, um auch die Kontakte eines Opfers anzugreifen. Wenn die Empfänger auf den schädlichen Link in der Nachricht klicken, werden auch ihre Computer infiziert. Diese Art von Social-Engineering-Angriff ist eine sehr effektive Methode zur Verbreitung von Rootkits.

    • Ausnutzung vertrauenswürdiger Software: Hacker können ihre Rootkits in ansonsten vertrauenswürdige Programme und Apps schmuggeln und die so infizierten Apps dann auf verschiedenen Download-Portalen verbreiten. Wenn Sie dann die infizierte App installieren, wird gleichzeitig auch das Rootkit installiert, ohne dass Sie es bemerken.

    • Andere Malware: Viren und Trojaner können zur Verbreitung von Rootkits verwendet werden, da sie effektiv darin sind, auf Ihren Computer zu gelangen. Wenn Sie das Programm ausführen, das den Virus enthält, oder den Trojaner, wird das Rootkit auf Ihrem Gerät installiert.

    • Verbergen in Rich-Content-Dateien: Seit dem Aufkommen von Rich-Content-Dateien wie PDFs müssen Hacker keine Malware mehr in speziellen Websites oder Programmen verstecken. Stattdessen können sie einfach Rootkits in diese Dateien integrieren. Wenn Sie die infizierte Datei öffnen, wird der Rootkit-Dropper automatisch ausgeführt.

    Verschiedene Arten von Rootkits

    Sicherheitsexperten unterteilen Rootkits in sechs Kategorien, die auf der Tiefe der Infektion auf Ihrem Rechner beruhen.

    User-Mode-Rootkits

    User-Mode-Rootkits infizieren das Administratorkonto Ihres Betriebssystems und erhalten die höchsten Berechtigungen, die zum Ändern der Sicherheitsprotokolle Ihres Computers erforderlich sind, während sie sich selbst und die von ihnen verwendete Malware verbergen.

    Diese Rootkits werden bei jedem Start des Rechners automatisch gestartet, weshalb ein einfacher Neustart nicht ausreicht, um die Infektion zu beseitigen. Malware-Scanner und -Entfernungsprogramme wie Avast One können User-Mode-Rootkits erkennen, da diese Rootkit-Erkennungssoftware auf einer tieferen Ebene, dem Kernel, läuft.

    Kernel-Mode-Rootkits

    Als Reaktion auf Rootkit-Scanner auf Kernel-Ebene haben Hacker Kernel-Mode-Rootkits entwickelt. Sie befinden sich auf der gleichen Computerebene wie das Betriebssystem und können damit das gesamte Betriebssystem kompromittieren.

    Sobald Ihr Computer von einem Kernel-Mode-Rootkit betroffen ist, können Sie ihm nicht mehr trauen – alles kann potenziell infiziert sein, einschließlich der Ergebnisse von Anti-Rootkit-Scans. Glücklicherweise ist es sehr schwierig, ein Kernel-Mode-Rootkit zu erstellen, das unbemerkt bleibt, denn es geht meist mit Systemabstürzen und anderen Problemen einher.

    Hybrid-Rootkits

    Hybrid-Rootkits platzieren einige ihrer Komponenten in der Benutzerebene und andere im Kernel. Dies verleiht Hybrid-Rootkits einerseits die Stabilität von User-Mode- und andererseits die verbesserten Tarnfähigkeiten von Kernel-Mode-Rootkits. Dementsprechend werden diese Hybrid-Rootkits von Cyberkriminellen mit Vorliebe eingesetzt.

    Firmware-Rootkits

    Firmware ist eine Art von Software auf niedriger Ebene, die zur Steuerung eines Teils der Computerhardware verwendet wird. Einige Rootkits haben die Fähigkeit, sich in der Firmware zu verstecken, wenn Sie Ihren Computer ausschalten. Beim erneuten Einschalten kann sich das Firmware-Rootkit wieder neu installieren.

    Wenn ein Rootkit-Scanner ein Firmware-Rootkit während der Ausführung findet und deaktiviert, wird das Rootkit beim nächsten Einschalten Ihres Rechners sofort wieder installiert. Firmware-Rootkits sind besonders schwer von einem Computer zu entfernen.

    Bootkits

    Wenn Sie Ihren Computer einschalten, greift er auf seinen Master Boot Record (MBR) zurück, um Anweisungen zum Laden seines Betriebssystems zu erhalten. Bootkits, auch als Bootloader-Rootkits bezeichnet, sind eine Variante des Kernel-Mode-Rootkits, die den MBR Ihres Computers infiziert. Jedes Mal, wenn der Computer auf den MBR zugreift, wird das Bootkit ebenfalls geladen.

    Anti-Malware-Programme haben, ebenso wie bei allen Kernel-Mode-Rootkits, Schwierigkeiten bei der Erkennung von Bootkits, da sich diese überhaupt nicht im Betriebssystem befinden. Glücklicherweise sind Bootkits mittlerweile veraltet, da sowohl Windows 8 als auch Windows 10 ihnen mit der Funktion für den sicheren Start einen Strich durch die Rechnung machen.

    Virtuelle Rootkits

    Bei einer virtuellen Maschine handelt es sich um eine softwarebasierte Emulation eines separaten Computers, die auf einem physischen Rechner gehostet wird. Virtuelle Maschinen werden häufig verwendet, um die Ausführung mehrerer Betriebssysteme auf einem einzigen Gerät zu ermöglichen oder um Programme in einer isolierten Umgebung zu testen.

    Virtuelle Rootkits oder Virtual-Machine-based Rootkits (VMBRs) laden sich selbst im ursprünglichen Betriebssystem und platzieren es dann auf einer virtuellen Maschine. Da sie getrennt vom Betriebssystem des Computers ausgeführt werden, sind sie sehr schwer zu finden.

    Beispiele für Rootkits

    Wenn ein neues Rootkit auftaucht, wird es sofort zu einem der dringendsten Cybersicherheits-Probleme. Werfen wir einen Blick auf einige der bekanntesten Rootkits der Geschichte, wovon manche von Hackern und andere überraschenderweise von Großkonzernen entwickelt und eingesetzt wurden.

    Eine Zeitleiste der bekanntesten Beispiele für Rootkit-Angriffe, einschließlich des ersten bekannten Rootkits von 1990 und des Stuxnet-Wurms von 2010.Zeitleiste der bekanntesten Beispiele für Rootkit-Angriffe.


    • 1990: Lane Davis und Steven Dake entwickeln das erste bekannte Rootkit bei Sun Microsystems für das Unix-Betriebssystem SunOS.

    • 1999: Greg Hoglund veröffentlicht einen detaillierten Artikel zur Erstellung eines Trojaners namens NTRootkit, dem ersten Rootkit für Windows. Dies ist ein Beispiel für einen Rootkit-Virus, der im Kernel-Modus aktiv wird.

    • 2003: Das User-Mode-Rootkit HackerDefender für Windows 2000 und Windows XP wird bekannt. Nach der Entdeckung von HackerDefender kam es zu einem Katz-und-Maus-Spiel zwischen HackerDefender und dem Anti-Rootkit-Tool RootkitRevealer.

    • 2004: Über 100 Mobiltelefone im Netz von Vodafone Griechenland werden von einem Rootkit angezapft, darunter auch das Telefon des griechischen Premierministers. Dieser Angriff gewinnt später unter dem Namen Greek Watergate Berühmtheit.

    • 2005: Im Zusammenhang mit Sony BMG kommt es zu einem massiven Skandal nach dem Vertrieb von CDs, die Anti-Piraterie-Tools in Form von Rootkits ohne die vorherige Zustimmung der Verbraucher installieren.

    • 2008: Das zum damaligen Zeitpunkt als TDL-1 bekannte Bootkit TDL-4 dient als Basis für den berüchtigten Alureon-Trojaner, der zur Erstellung und Aufrechterhaltung von Botnets verwendet wird.

    • 2009: Das Rootkit Machiavelli greift macOS (damals noch Mac OS X) an und beweist, dass auch Macs anfällig für Malware wie Rootkits sind.

    • 2010: Der Wurm Stuxnet, der mutmaßlich in Zusammenarbeit zwischen den USA und Israel entwickelt wurde, verwendet ein Rootkit, um seine Präsenz zu verbergen, während er das iranische Atomprogramm angreifen soll.

    • 2012: Die mit einer Größe von 20 MB vergleichsweise riesige modulare Malware namens Flame (andere Malware ist weniger als 1 MB groß) greift Infrastruktur im Nahen Osten und in Nordafrika an. 

    • 2018: LoJax ist das erste Rootkit, das die UEFI eines Computers infiziert (die Firmware, die die Hauptplatine steuert), und es LoJax ermöglicht, eine Neuinstallation des Betriebssystems zu überstehen.

    • 2019: Dieser Rootkit-Angriff stammt von Scranos, einem Rootkit, das Passwörter und Zahlungsdaten stiehlt, die in Ihrem Browser gespeichert sind. Und vor allem verwandelt es Ihren Computer in eine Clickfarm, um heimlich Videoeinnahmen und YouTube-Abonnenten zu generieren.

    Schützen Sie Ihre Geräte mit Anti-Rootkit-Software

    Über 400 Millionen Benutzer auf der ganzen Welt verlassen sich bereits auf Avast, um alle Arten von Malware abzuwehren, einschließlich Rootkits. Wenn Sie Avast One installieren, können Sie die Vorteile eines des stärksten Rootkit-Scanners und -Entferners nutzen. Das bedeutet Rootkit-Schutz auf Höchstniveau – zusammen mit einer Reihe weiterer Sicherheits- und Datenschutzfunktionen – und das absolut kostenlos.

    Ihr Android mit Avast One vor Rootkits und anderer Malware schützen

    KOSTENLOSE INSTALLATION

    Ihr iPhone mit Avast One vor Rootkits und anderer Malware schützen

    KOSTENLOSE INSTALLATION
    Malware
    Sicherheit
    Carly Burdova
    16-01-2020