Findet sich versteckte Malware auf Ihrem PC, die Hackern Zugang verschafft? Es könnte eine nahezu unauffindbare Software sein, die man Rootkit nennt. Entdecken Sie die verschiedenen Varianten dieser widerlichen App-Familie, lernen Sie, wie man sie aufspürt und beseitigt – und genießen Sie mehr Sicherheit im Internet mit Avira Internet Security. Es enthält bewährte Anti-Malware-Lösungen, die Sie vor Rootkits und anderen Anti-Malware-Arten schützen. Es behebt Sicherheitslücken in Software und kann Web-Tracker blockieren.
Was versteht man unter einem Rootkit und weshalb ist es bei Hackern so beliebt?
Willkommen bei den Spezialagenten der Malware-Welt: den Rootkits. Rootkits sind eine im Verborgenen agierende Gruppe von Computerprogrammen, die darauf ausgelegt sind, sich unbemerkt in Ihren Computer einzuschleusen und dort einzunisten. Hier „leben“ sie dann gut getarnt vor Benutzern und Systemprozessen, während sie Hackern einen privilegierten Zugriff auf den angegriffenen Rechner gewähren. Der Name setzt sich aus zwei Wörtern zusammen, die die Absichten dieser Malware auf den Punkt bringen. Bei Unix- und Linux-Betriebssystemen heißt das Konto mit den höchsten Rechten „root“, während „kit“ die Softwarekomponenten bezeichnet, die den unbefugten Zugriff auf Administratorebene ermöglichen. Vereinfacht gesagt sind Rootkits Werkzeuge, die einen bevorrechtigten Zugang zum Kern oder zur „Wurzel“ eines Systems ermöglichen.
Haben sich Rootkits erst einmal in ein System eingeschleust, eröffnen sie Cyber-Angreifern eine virtuelle Hintertür, über die diese sich aus der Ferne einloggen und zahlreiche heimtückischer Handlungen vornehmen können. Ein Hacker verfolgt typischerweise folgende Ziele: Er will persönliche oder finanzielle Daten entwenden, Systemdateien vernichten, weitere Formen von Malware installieren oder den Computer als Teil eines Botnets zur Spam-Verbreitung rekrutieren. Rootkits können auch sogenannte ‚Denial-of-Service‘-Angriffe (DoS) ermöglichen, bei denen das Zielsystem mit so vielen Anfragen überflutet wird, dass es seine normalen Funktionen nicht mehr ausführen kann. Noch massiver, kühner (und zerstörerischer) sind ‚Distributed Denial of Service‘ (DDoS)-Angriffe, bei denen viele Systeme ein einzelnes Opfer ins Visier nehmen. Sie sind wie DoS in Reinkultur.
Und Sie sollten vielleicht leise sprechen …, denn Cyberkriminelle können Rootkits auch dazu nutzen, die Webcam und das Mikrofon zu hacken, um Ihre Gespräche mitzuhören. Ihre Privatsphäre könnte auch auf andere Art verletzt werden, beispielsweise durch das Mitlesen Ihrer E-Mails, das Abfangen von Netzwerkdaten und die Aufzeichnung Ihrer Tastatureingaben. Einige Rootkits können Computersicherheitssysteme manipulieren oder sogar vollständig deaktivieren, was es schwerer macht, ungewöhnliches Verhalten und unbefugte Änderungen zu erkennen.
Ist ein Rootkit ein Virus?
Denken wir für einen Moment in größeren Zusammenhängen. Bösartige Software oder ‚Malware‘ ist ein Sammelbegriff für Software, die darauf ausgelegt ist, Computersysteme zu stören, zu beschädigen oder unbefugten Zugriff darauf zu erlangen. Sie kann verschiedene Formen annehmen, von Computerviren und Spyware bis hin zu Adware- und Ransomware. Rootkits gelten zweifellos als Malware, doch handelt es sich dabei um Viren?
Viren sind eine spezielle Art von Malware, die sich selbst reproduziert, indem sie ihren Code in andere Programme einschleust. Rootkits weisen zwar selbstreplizierende Eigenschaften auf, die an Viren erinnern, sind aber nicht in der Lage, sich selbstständig zu verbreiten. Sie brauchen dazu Unterstützung, um in ein System einzudringen. Obwohl die meisten Rootkits die Software und das Betriebssystem (OS) beeinträchtigen, können sie auch ehrgeizigere Ziele verfolgen und die Hardware sowie Firmware eines Computers infizieren (die in die Hardware fest integrierte Software zur Steuerung ihrer Funktionalität). Von Smartphones bis zu Servern – Rootkits können auf jeder Art von Computer auftreten. Gehen Sie also nicht davon aus, dass gerade Ihr Lieblingsgerät dagegen immun wäre. Da sie sich so gut verbergen, kann es äußerst kompliziert sein, sie aufzuspüren und zu entfernen. Dazu später mehr.
Lernen Sie die Mitglieder der Rootkit-Familie kennen
Rootkits lassen sich nach ihrer Infektionsmethode, Wirkungsweise und Beständigkeit in unterschiedliche Kategorien einteilen. Es folgt ein kurzer Überblick über die üblichen Verdächtigen.
Bootkits bzw. Bootloader-Rootkits ersetzen den legitimen Bootloader (den Mechanismus, der das Betriebssystem beim Einschalten des Computers initialisiert) durch eine schädliche Version. Folglich wird das Rootkit aktiviert, noch ehe das Betriebssystem Ihres Computers vollständig gestartet ist!
Hardware- oder Firmware-Rootkits werden auf der Festplatte, dem Router oder dem System-BIOS (der auf einem Speicherchip auf dem Motherboard installierten Software) installiert. Im Gegensatz zu herkömmlicher Malware, die das Betriebssystem manipuliert, greifen diese Rootkits die Firmware des Geräts an und installieren Malware, die von Antivirenprogrammen nicht erkannt werden kann. Hardware- und Firmware-Rootkits können eine erhebliche Gefahr für Ihre Online-Privatsphäre und -Sicherheit darstellen, da sie es Hackern ermöglichen, Ihre Tastatureingaben zu protokollieren und Ihre Internetaktivitäten zu überwachen.
Anwendungs-Rootkits tauschen legitime Dateien auf dem Computer gegen Rootkit-Dateien aus, um das Verhalten von Anwendungen zu manipulieren. Solche Rootkits können sich in alltäglich genutzte Programme wie Microsoft Office, Paint oder Excel einnisten – wobei jedes Mal, wenn Sie die infizierte Software starten, der Angreifer Zugriff auf Ihren Rechner erlangt. Diese Malware lässt sich nur schwer aufspüren, da die infizierten Programme dem Anschein nach einwandfrei funktionieren! Zuverlässige Antivirensoftware wie Avira Free Antivirus (als eigenständiges Produkt oder im Rahmen von Avira Internet Security verfügbar) kann diese Übeltäter normalerweise jedoch erkennen.
Memory-Rootkits nisten sich tief im Arbeitsspeicher (RAM) des Computers ein und laufen dort im Hintergrund, führen tückische Angriffe aus und verlangsamen in der Regel die Performance des Systems. Da diese Rootkits keinen dauerhaften Code einschleusen, verschwinden sie in der Regel, sobald Sie das System neu starten.
Kernel-Mode-Rootkits dringen in den innersten Kern (also die Kernel-Ebene) des Computersystems ein und stellen damit die gefährlichste Form aller Rootkits dar. Hacker verwenden sie, um die Funktionalität des Betriebssystems zu attackieren, indem sie eigenen Code einschleusen. Vorsicht: Sie können auch auf die Dateien auf Ihrem Computer zugreifen!
Virtuelle Rootkits installieren sich sozusagen unterhalb des eigentlichen Betriebssystem und verlagern dieses dann auf eine virtuelle Maschine. Gerade weil sie unabhängig vom Betriebssystem laufen, sind sie so schwer zu erkennen. Auch im legitimen IT-Bereich kommen virtuelle Maschinen zum Einsatz, sei es um mehrere Betriebssysteme auf einem Computer zu betreiben oder, um Software in einer geschützten Umgebung zu testen.
Wie werden Rootkits auf einem Gerät installiert?
Um eine Infektion zu verhindern, ist es hilfreich zu verstehen, wie Rootkits auf Ihren Rechner gelangen, da sie – ebenso wie Trojaner – für ihre Installation auf externe Hilfe angewiesen sind. Rootkits ermöglichen verdeckten Zugang und Steuerung, während Trojaner als Mechanismus zum Einschleusen von Malware dienen. Werden Sie nicht ungewollt zum Komplizen von Rootkits, indem Sie ahnungslos Hilfestellung geben!
Rootkits stellen eine hybride Bedrohung dar, da sie in der Regel aus drei Komponenten bestehen: Neben der Malware verwenden Hacker auch ein gefährliches Gespann aus Dropper und Loader. Als Erstes kommt der Dropper zum Einsatz, der das Rootkit auf den Rechner des Opfers einschleust. Der Dropper löst dann den Loader aus, der das Rootkit dann dort installiert. Der bösartige Plan des Cyberkriminellen kann nur gelingen, wenn alle drei Elemente erfolgreich implementiert werden. Hierfür bedienen sie sich mehrerer Methoden.
Als blinder Passagier in seriöser Software: Ein Rootkit kann sich an legitime Programme und Apps anheften und wird dann vom Download-Portal gemeinsam mit der vom Benutzer gewünschten Software heruntergeladen. (Hinweis: Verwenden Sie zum Herunterladen von Programmen ausschließlich zuverlässige Quellen.)
Mit den Mitteln des Social Engineerings: Betrüger kontaktieren potenzielle Opfer mit seriös erscheinenden E-Mails und versuchen, sie zum Anklicken eines Links oder zum Herunterladen einer Datei zu verleiten. Durch dieses Phishing und andere Formen des Social Engineerings können Opfer unbewusst ein Rootkit und andere Malware herunterladen. Viren und Trojaner sind gängige Übertragungswege für Rootkits und beide eignen sich hervorragend dafür, unbemerkt auf Computer zu gelangen.
Ausnutzung von Sicherheitslücken: Falls das Betriebssystem eines Computers oder eine Software nicht behobene Schwachstellen aufweist und das neueste Update nicht installiert wurde, kann ein Hacker seine Malware durch diese Sicherheitslücke einschleusen. (Hinweis: Achten Sie darauf, dass alle Programme auf dem aktuellsten Stand sind.)
Kapern von Messaging-Programmen: Achtung – eine hybride Bedrohung kann Instant-Messaging-Programme kapern und sich selbstständig auf die Kontakte des Opfers verbreiten. Diese Nachrichten beinhalten dann infizierte Links, wobei das Rootkit aktiviert wird, sobald der Empfänger auf sie klickt.
Verteckt in sogenannten Rich-Content-Dateien: Hacker sind in der Lage, Rootkits in Dateien mit umfangreichen Inhalten wie PDFs einzuschleusen. Der Rootkit-Dropper startet automatisch, wenn Sie die Datei öffnen.
Durch Drive-by-Downloads: Sie surfen unbesorgt im Internet und landen dabei auf einer suspekten oder einer ganz legitimen Seite, bei denen Schadcode eingeschleust wurde. Selbst ohne jegliches Zutun ihrerseits kann Ihre reine Präsenz dort genügen, um die Installation von Malware auf Ihrem Gerät auszulösen.
Sind Sie mit einem Rootkit infiziert? Achten Sie auf diese gängigen Symptome
Da Rootkits darauf ausgelegt sind, verborgen zu bleiben, was ihre Erkennung erschwert. Je länger diese unerwünschten Gäste bleiben, desto größer ist der Schaden, den sie anrichten können. Manche Rootkits können sogar Sicherheitssoftware deaktivieren, was ihnen eine zusätzliche ‚Tarnung‘ verleiht und Ihnen noch mehr Probleme bereitet. Hier sind die häufigen Anzeichen dafür, dass Ihr Gerät möglicherweise mit Rootkit-Malware infiziert ist:
- Blue Screen/Black Sreen des Todes
Starren Sie auf Windows-Fehlermeldungen oder einen blauen bzw. schwarzen Bildschirm mit weißem Text? Müssen Sie Ihren Computer ständig neu starten?
- Geringe Systemleistung
Friert Ihr Rechner neuerdings öfter ein oder stürzt häufiger ab als üblich? Läuft er langsamer und ist die Auslastung der Zentraleinheit (CPU) höher? Eventuell fällt Ihnen auch ungewöhnlicher Netzwerkverkehr im Hintergrund Ihrer normalen Aktivitäten auf.
- Änderungen an den Systemeinstellungen und -berechtigungen
Ist Ihre Antivirensoftware plötzlich ausgeschaltet oder funktioniert nicht mehr, obwohl Sie sie nicht selbst deaktiviert haben? Es kann sein, dass Sie weitere Änderungen an Ihren Systemeinstellungen bemerkt haben, etwa einen veränderten Bildschirmschoner, eine sich automatisch verbergende Taskleiste, neu angeordnete angeheftete Elemente oder eine andere Darstellung von Datum und Uhrzeit.
- Webseiten werden nur noch langsam geladen und verhalten sich unberechenbar
Ist das Surfen zu einer frustrierenden Geduldsprobe geworden? Übermäßiger Netzwerkverkehr hinter den Kulissen könnte die Ursache dafür sein. Achten Sie zudem auf unerwartete Browserumleitungen und unbekannte Lesezeichen.
Haben Sie viele dieser Fragen mit „Ja“ beantwortet, dann könnte Ihr Rechner in der Tat von einem Rootkit oder einer anderen Form von Malware infiziert worden sein. Gehen Sie direkt zum nächsten Abschnitt, um umgehend mit dem Beheben etwaiger Schäden zu beginnen.
Jetzt heißt es handeln: So erkennen, entfernen und verhindern Sie Rootkits
Setzen Sie unseren 5-Schritte-Aktionsplan um, um einen Neustart ohne Rootkits zu wagen – hoffentlich ohne auf Schritt 6 zurückgreifen zu müssen!
SCHRITT 1: Starten Sie Ihren Computer neu und zwar im abgesicherten Modus. Dies kann verhindern, dass das Rootkit beim Hochfahren geladen wird, was seine Entfernung erleichtert. Der Start im abgesicherten Modus unterscheidet sich je nach verwendetem Betriebssystem. Für Windows 11: Klicken Sie auf das Windows-Startmenü > Energie > Neu starten (halten Sie dabei die Shift – Taste gedrückt).
SCHRITT 2: Führen Sie einen umfassenden Systemscan mit zuverlässiger, spezialisierter Online-Sicherheitssoftware durch. Sorgen Sie dafür, dass Ihre Online-Sicherheitstools stets auf aktuellem Stand sind, um bestmöglich gegen die neuesten Bedrohungen gewappnet zu sein! Beachten Sie auch, dass Rootkits den grundlegenden Schutz Ihres Computers umgehen können. Deshalb wird ein mehrschichtiger Schutz von Experten für Online-Sicherheit empfohlen. Falls Sie Avira Antivirus Pro verwenden, das in Avira Internet Security enthalten ist, können Sie einen schnellen Smart-Scan oder einen vollständigen Virenscan durchführen. Der gründliche Scan wird empfohlen, um hartnäckige Rootkits zu entfernen – er analysiert auch das Windows-System, laufende Prozesse sowie lokale und Wechsellaufwerke.
SCHRITT 3: Entfernen Sie erkannte Bedrohungen sachgemäß. Halten Sie sich stets an die vorgegebenen Anweisungen zum Entfernen oder Isolieren von Rootkit-Prozessen oder -Dateien – und vergewissern Sie sich zweimal, dass Sie tatsächlich die richtigen Elemente entfernen! Ein willkürliches Löschen von Systemdateien kann das ordnungsgemäße Funktionieren Ihres Computers beeinträchtigen. Avira Antivirus Pro verschiebt potenziell schädliche Dateien in einen isolierten Sicherheitsbereich auf Ihrem Computer. Hier erfahren Sie, wie Sie mit Avira unter Quarantäne gestellte Dateien wiederherstellen bzw. entfernen können.
SCHRITT 4: Sind Schäden entstanden? Reparieren Sie jetzt die Systemdateien. Es geht nicht nur darum, den Übeltäter zu eliminieren. Es gilt, das Gute zu beschützen. Rootkits können Systemkonfigurationen und Dateien manipulieren; daher müssen diese repariert bzw. korrigiert werden.
SCHRITT 5: Überwachen Sie das Systemverhalten und führen Sie Wartungsarbeiten durch. Achten Sie auf Anzeichen einer erneuten Infektion, beispielsweise Leistungseinbußen und Probleme beim Surfen. Führen Sie regelmäßig Scans mit einer zuverlässigen, aktuellen Online-Sicherheitssoftware Ihrer Wahl durch.
SCHRITT 6: Wenn sonst gar nichts hilft: Entfernen Sie alle Daten auf dem Gerät und installieren Sie das Betriebssystem neu. Sollten alle bisherigen Versuche gescheitert sein und Ihr Rootkit sich fest in mehreren Systemebenen eingenistet haben, dann empfiehlt es sich, Ihre Daten zu sichern, den Computer vollständig zu formatieren und eine komplette Neuinstallation vorzunehmen. Sehen Sie sich zunächst diese Anleitung zum Formatieren Ihrer Festplatte an.
Eine perfekte Verbindung im sicheren Cyberspace: Sichere Internetnutzung + zuverlässige Technologie
Bei der Abwehr von Online-Betrug, Rootkits und anderer Schadsoftware gilt: Vorbeugen ist tatsächlich besser (und einfacher) als heilen. Hier eine kurze Erinnerung, bevor Sie sich wieder in den digitalen Dschungel begeben:
- Verwenden Sie die vertrauenswürdige Antivirensoftware eines Online-Sicherheitsspezialisten.
- Aktualisieren Sie regelmäßig alle Systeme, das Betriebssystem sowie sämtliche Anwendungen, damit diese bestmöglich gegen bekannte Sicherheitslücken geschützt sind und Cyberkriminelle keine Angriffsfläche finden. Denken Sie auch daran, Ihren Internetbrowser zu aktualisieren, denn die neuesten Versionen verfügen über einen eingebauten Schutz gegen betrügerische Websites.
- Erkennen Sie Phishing-E-Mails. Prüfen Sie den Absender sorgfältig, indem Sie den Mauszeiger über die E-Mail-Adresse bewegen. Versenden Sie keine vertraulichen Informationen per E-Mail und öffnen Sie keine verdächtigen Links. Im Zweifelsfalle nehmen Sie bitte unmittelbar Kontakt zu der Einrichtung oder dem Unternehmen auf, von der die Nachricht stammt, um deren Authentizität zu bestätigen.
- Öffnen Sie Dateianhänge ausschließlich von vertrauenswürdigen Quellen. Angreifer verbreiten Rootkits und andere Schadsoftware, indem sie Viren und Trojaner in Dateianhängen verbergen.
- Nutzen Sie ausschließlich renommierte Websites, die Sie kennen und denen Sie vertrauen, und nehmen Sie keine Einkäufe auf Seiten ohne HTTPS-Schlosssymbol vor. Klingt ein Deal zu gut, um wahr zu sein, handelt es sich vermutlich um Betrug – die Website könnte zudem mit Malware verseucht sein.
- Nutzen Sie starke, einmalige Passwörter und speichern und verwalten Sie diese gut geschützt mit einem Passwort-Manager. Aktivieren Sie, wenn möglich, eine Multi-Faktor-Authentifizierung.
Die Liste der übelsten Rootkits: Hier sehen Sie vier berüchtigte Beispiele
Rootkits können als ernsthafte und facettenreiche Sicherheitsbedrohung auftreten. Hier sind einige berüchtigte Beispiele, die die Wirkung und Tragweite dieser digitalen Gefahren verdeutlichen:
Bereits 2006 errichtete das Rustock-Rootkit eines der umfangreichsten Botnetze zur Verbreitung von Spam. Diverse Schätzungen gehen davon aus, dass das Botnetz zwischen 150.000 und 2,4 Millionen infizierte Rechner umfasste und durchschnittlich 192 Spam-Mails pro kompromittiertem Computer pro Minute versandte.
Der Stuxnet-Schadcode verursachte 2010 massive Schäden am Atomprogramm des Iran und gilt als eine Form digitaler Kriegsführung.
Im Jahr 2011 entwendete das Alureon/TDL-4-Rootkit Daten und gefährdete Sicherheitssysteme. Es infizierte 1,5 Millionen Computer in den USA.
2012 trat Flame in Erscheinung und entpuppte sich als äußerst wirkungsvolles Instrument zur Informationsgewinnung im Bereich der Cyberspionage, vor allem im Nahen Osten. Das gesamte Betriebssystem einer Maschine kann davon betroffen sein, wodurch Hacker in der Lage sind, den Datenverkehr zu kontrollieren, Tastatureingaben zu protokollieren und Screenshots zu erstellen.
Die Sicherheit im Internet umfasst zahlreiche Aspekte: Ein effektiver Schutz reicht weiter als Antivirensoftware
Schützen Sie sich vor Rootkits und anderer Malware. Avira Internet Security vereint verschiedene Avira Premium-Produkte zu einer leistungsstarken All-in-One-Lösung für optimalen Identitäts- und PC-Schutz. Lernen Sie Ihr persönliches Sicherheitsteam kennen: Avira Antivirus schützt vor den aktuellsten Online-Gefahren, während der Software Updater die neuesten Updates findet und automatisch installiert. Verwenden Sie den Passwort-Manager, um komplexe Passwörter für all Ihre Online-Konten zu erstellen und sicher zu speichern – er informiert Sie zudem, falls Ihre Daten bei einem Sicherheitsvorfall kompromittiert wurden. Mit Avira Browser Safety müssen Sie sich weniger Gedanken um infizierte Websites machen, da es das Laden solcher Seiten verhindert.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch