Remote Administration Tool, Rootkit und Scareware

Remote Administration Tools steuern PCs heimlich aus der Ferne.

Software zur Fernsteuerung von Computern wird in Unternehmen und teils auch im Verwandten- oder Bekanntenkreis eingesetzt. Legale Vertreter dieser Softwaregattung zeigen deutlich an, wenn ein PC aus der Ferne kontrolliert wird.

Ganz anders verhalten sich Remote Administration Tools, die nach ihrer Abkürzung auch als RATs (deutsch: Ratten) bezeichnet werden. RATs lassen sich heimlich installieren und weisen auf ihre Anwesenheit auch nicht hin. Der Benutzer des ferngesteuerten PCs merkt also nicht, dass jemand anderes die Kontrolle über seinen Rechner übernommen hat.

Verbreitete Remote Administration Tools sind Back Orifice, Netbus und Shark.

So schützen Sie sich: Ein aktueller Virenscanner erkennt ein RAT in der Regel und entfernt es zuverlässig. Ein Scan mit der Kaspersky Rescue Disk 10 schafft zudem Sicherheit, dass sich kein RAT auf dem PC befindet.

Rootkits verbergen Schadcode vor Virenscannern und dem Benutzer. Ein Rootkit greift tief in das Betriebssystem ein, tauscht Treiber aus oder manipuliert den Windows-Kernel und macht sich so unsichtbar. Deshalb taucht ein aktiviertes Rootkit auch im Windows-Explorer nicht mehr auf — als wäre es auf dem Computer gar nicht vorhanden.

Der Begriff Rootkit stammt ursprünglich aus dem Linux-Umfeld. Dort wurden damit spezielle Tools bezeichnet, die sich erfolgreich vor dem „root“ versteckten, dem Administrator des Linux-Rechners.

So schützen Sie sich: Die Antiviren-CD Kaspersky Rescue Disk 10 startet Ihren PC mit einem Linux-System und scannt dann nach Schädlingen. Rootkits haben so keine Chance, sich zu aktivieren und vor dem Scanner zu verbergen.

Scareware sind gefälschte Sicherheits-Tools, die dem Benutzer Angst einjagen und so zum Kauf nutzloser Software verleiten sollen.

Der Begriff Scareware leitet sich vom englischen to scare, Angst einjagen, ab. Demzufolge versucht Scareware beim Benutzer ein Gefühl der Bedrohung zu erwecken, indem sie ihm beispielsweise eine Infektion seines Computers mit Hunderten Schädlingen vorgaukelt.

Damit soll der Nutzer zum Kauf der in der Regel komplett nutzlosen Software gebracht werden. Manche dieser Tools enthalten sogar selbst echten Schadcode und klauen Daten.

So schützen Sie sich: Installieren Sie nur Sicherheitsprogramme bekannter Hersteller. Um Verwechslungen zu vermeiden, überprüfen Sie den Namen jedes Sicherheits-Tools, das Sie installieren wollen oder das sich ohne Ihr Zutun auf Ihrem PC befindet. Sunbelt Software hat eine Liste gefälschter Sicherheitsprogramme zusammengestellt. Sie finden die Liste unter www.sunbeltsecurity.com/BrowseLibrary.aspx. Klicken Sie unten links bei „Misc“ auf „Rogue Security Program“.

Außerdem finden Sie bei Virustotal eine Liste seriöser Anbieter von Sicherheitssoftware, wenn Sie auf „Credits“ klicken.

Der kostenlose Online-Dienst prüft jede hochgeladene Datei mit mehr als 40 Virenscannern.

Ein Check mit Virustotal findet heraus, ob eine Datei mit einem Virus verseucht ist oder nicht. Die Webseite ist leicht zu bedienen: Klicken Sie auf „Durchsuchen…“, wählen Sie die verdächtige Datei aus und bestätigen Sie mit „Öffnen, Send file“. Der Browser lädt die fragliche Datei dann hoch. Nach kurzer Zeit beginnt sich das Fenster mit den Ergebnissen zu füllen.

Nicht immer ist das Ergebnis jedoch eindeutig. Glauben nur wenige Scanner einen Schädling entdeckt zu haben, handelt es sich eventuell um einen Fehlalarm. Laden Sie die Datei dann auch bei Threat Expert hoch. Der Dienst startet die Datei in einer abgesicherten Sandbox und wertet dann ihre Aktionen aus.

Threat Expert startet hochgeladene Dateien in einer abgeschotteten Sandbox.

Das Besondere an dem kostenlosen Dienst Threat Expert ist, dass die Webseite verdächtige Dateien in einer Sandbox laufen lässt. Aus dem Verhalten der Datei in der Sandbox und einem Virencheck mit acht Scannern erstellt der Dienst dann einen ausführlichen Report, der sogar Screenshots enthält.

Senden Sie die fragliche Datei über www.threatexpert.com/submit.aspx an Threat Expert. Nach wenigen Minuten erhalten Sie eine E-Mail mit einem Link zu dem Prüfergebnis. Außerdem ist der Nachricht eine Datei im ZIP-Format angehängt, die den kompletten Bericht enthält. Das Passwort, um dieses Archiv zu öffnen, lautet threatexpert.