79236

Keylogger finden und beseitigen

19.11.2007 | 12:15 Uhr |

Der Begriff „Keylogger“ bezeichnet eine Hard- oder Software, die dazu verwendet wird, die Eingaben eines Benutzers zu protokollieren. Die Software-Version von Keyloggern wird gerne als Malware unbemerkt eingeschleust, um Passwörter und Online-Banking-Logins auszuspionieren. Dabei bedienen sich die Schadprogramme der Rootkit-Technologie, um möglichst lange unbemerkt auf dem infiltrierten System bestehen zu können.

Malware-Keylogger sind meist spezielle Rootkits, und die werden wiederum in verschiedene Kategorien unterteilt. Zum einem sind es residente Rootkits, die einen Neustart überleben sollen und sich deshalb zumindest in eine Autostart-Quelle eintragen müssen. Speicher-Rootkits dagegen sind nach dem nächsten Neustart weg. Weiterhin gibt es Benutzer-Rootkits, die API-Aufrufe (Application Programming Interface) von Anwendungen abfangen und ändern, die im Benutzerkontext laufen. So kann beispielsweise eine bestimmte Datei im Explorer versteckt werden. Die ausgefeilteren Kernel-Rootkits fangen sogar Aufrufe der nativen Windows-API ab. Dabei handelt es sich um den Befehlssatz, der auf Kernel-Ebene verwendet wird, etwa auch von Treibern. Zusätzlich können diese Rootkits aber auch direkt die Daten-Struktur aus Sicht des Kernels ändern.

Um ein Rootkit aufzuspüren, brauchen Sie etwas Gespür und ein Tool wie beispielsweise Rootkit Revealer von Sysinternals. Rufen Sie es einfach von einem Account mit Admin-Rechten auf, und klicken Sie auf „Scan“. Das Tool scannt Ihr System dabei auf zweierlei Weise. Einmal in herkömmlicher Weise über die Windows-API und ein weiteres Mal, indem es die rohen Daten direkt von Ihren physischen FAT- oder NTFS-Partitionen einliest. Falls zwischen den beiden Scans Unterschiede auftreten, werden sie im Tool aufgelistet. Nach einigen Minuten sind die Scans abgeschlossen, nun müssen Sie das angezeigte Ergebnis interpretieren.

0 Kommentare zu diesem Artikel
79236