(fuz) Der perfekte Trojaner versteckt sich nicht zwischen den Programmen, sondern unterhalb dieser, also direkt im Betriebssystem-Kern. Das nennt mann dann Rootkit. Gelingt es einem Trojaner, sich dort einzunisten, besteht keine Möglichkeit, ihn mit auf dem System laufenden Programmen aufzuspüren, denn er kann u.a. bestimmen, welche Dateien und Prozesse ein Virenschutzprogramm überhaupt zu sehen bekommt. Nur ein Virenschutz, der den Systemkern selbst durchsuchen kann, ohne von diesem abhängig zu sein könnte Plagegeister dieser Spezies aufspüren, denn ein Rootkit kann sogar den Scanprozess selbst unterbinden, ohne daß der Anwender etwas davon mitbekommt oder eine Fehlermeldung erhält. Insbesondere der Leerlaufprozes ist ein gradezu ideales Versteck für Rootkits, denn so entstehen keine Leistungseinbrüche, die einen Adminsistrator sonst auf die Fährte bringen könnten.
Typische Rootkits bestehen regelmäßig aus mehreren Komponenten:
1. Die „Hintertür“ (Backdoor). Diese ermöglicht dem Angreifer den ungestörten Zugang zum System, bei Windows mit Administrator-Rechten ausgestattet.
2. Die Trojaner-Komponente. Sie stellt sicher, daß alle zum Rootkit gehörigen Dateien sowie die anfallenden Daten völlig unsichtbar bleiben. Zu diesem Zweck kann der Trojaner sogar die Systemereignis-Protokolle (Logfiles) bzw. den Windows Task-Manager manipulieren. Meistens ist dies jedoch überflüssig: Programme, die der Hacker
für seine Schandtaten benötigt, werden normalerweise bei ihrer Ausführung gar nicht erst angezeigt. Der echte Administrator sieht in der Systemanzeige von den verdeckt durchgeführten Aktionen in der Regel nichts – und wenn er zufällig doch einmal einen Process Identifier (PID) des Trojaners entdeckt, bleibt jeder Versuch, diese Anwendung zu stoppen, erfolglos.
3. Oft sind auch Key Logger oder Packet Sniffer integriert, um weitere Benutzerberechtigungen auszuspähen.
4. Meistens wird auch noch das Loch geschlossen, durch welches der Angreifer selbst ins System kam, damit dieser von nachfolgenden Hackern ungestört bleibt.
Ursprünglich entstammen diese Rootkits der Unix-Welt, aber seit 1999 ist klar, daß es auch unter Windows technisch möglich ist, direkt im Systemkern einen Trojaner zu platzieren.
Mittlerweile rücken derartige Schädlinge aus dem Bereich des theoretisch möglichen immer näher in den Bereich der tatsächlichen Bedrohung, wie aus einem aktuell von Heise Security erwähnten Dossier von Piotr Bania hervorgeht.
Es wird also nicht mehr allzulange dauern, bis diese Geißel der Unix-Welt auch den Windows-PC erobert hat. Ziehen wir uns also besser warm an.
Wer mehr wissen möchte: http://www.rootkit.com/