Um die Identifizierung zu erleichtern, sollte man beim Einspielen von Software ein wenig aufpassen und sich vor allem merken, in welches Verzeichnis sich die Software installiert. Ermittelt man anschließend mittels Wmic-Befehlen, was neu hinzugekommen ist, so kann der Pfadname die Zuordnung erleichtern. Zu beachten ist, dass Kernel-Mode-Treiber fast immer in das Verzeichnis C:WindowsSystem32Drivers installiert werden, unabhängig davon, was man als Installationspfad für eine Software gewählt hat.
Neu hinzugekommene Komponenten, die man nicht identifizieren kann, darf man getrost zunächst einmal auf die Verdachtsliste für eine Malware setzen. So einfach wie in Bild 2 machen es einem die meisten Schädlinge nicht, dass sie sich in einem Verzeichnis mit dem Namen C:$HACKERZ$ einnisten. In der Regel verstecken sie sich in bekannten Verzeichnissen, etwa Unterverzeichnissen von C:Program Files oder C:Windows, und tragen Namen, die suggerieren, sie seien Teil des Betriebssystems, beispielsweise csrrss.exe. Diese Datei kann leicht mit dem Win32-Subsystem csrss.exe verwechselt werden, ist aber in Wahrheit der Wurm W32.Rbot-BBH.
Um auszuschließen, dass es sich bei einer neu gefundenen Datei um einen Schädling handelt, kann man einen Black-, White- und Greylistinganbieter wie Greatis.com nutzen. Hat man etwa die Datei uliagpkx.sys als neuen Treiber gefunden, so kann man sich dort versichern, dass es sich um einen Original-Treiber von Vista handelt, siehe Bild 3.
Ebenso lässt sich bei Greatis nachschauen, dass es sich bei der Datei lvcm.sys um einen Treiber für Logitech-Webcams handelt. Wer sich ganz sicher ist, dass er zu keinem Zeitpunkt eine Webcam installiert hat, sollte trotzdem Verdacht schöpfen. Dann handelt es sich vermutlich um eine Schadsoftware mit gleichem Namen. Entwarnung gibt es dagegen, wenn man eine Webcam von einem vermeintlich anderen Hersteller installiert hat. Das bedeutet in der Regel, dass es sich um ein OEM-Modell handelt, welches dieselben Treiber verwendet.
Generell sollte man gelassen reagieren, wenn die MD5-Prüfsumme der verdächtigen Datei auf dem Rechner nicht mit der auf der Greatis-Website übereinstimmt. Das bedeutet meist, dass die Datei über Windows-Update ausgetauscht wurde, und nicht, dass sie verseucht ist. Das Austauschen von Original-Dateien durch Malware-Programmierer kommt zwar vor, ist aber äußerst selten.
Eher abzuraten ist davon, für eine verdächtige Datei eine Google-Suche durchzuführen. Die Informationen, die man in verschiedenen Foren findet, sind wenig zuverlässig und in der Regel widersprüchlich. Sinnvoll ist eine Google-Suche nur, wenn man nur Suchergebnisse bekannter Sicherheitsunternehmen wie Symantec, Avira, McAfee, AVG, F-Secure und Kaspersky berücksichtigt. Auch bei den namhaften Herstellern muss beachtet werden, dass sie User-Diskussionsforen betreiben, in denen man viele Falschinformationen findet.
Neueste Kommentare
1 Kommentar zu Wirkungslose Antimalware: Schädlinge trotzdem erkennen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Anmerkung
Bis auf das Fazit ein schöner Beitrag. Wirkungsvoll schützt man sich aber nicht durch dieses Verfahren. Oft dauert es ja einige Zeit bis der Anwender bemerkt das etwas nicht stimmt, dann kann es aber schon zu spät sein. Wer gleicht schon ständig immer und immer wieder seine Dateien ab? Dann doch lieber zusätzlich zu einem guten Antivirenprogramm z.B. einfach regelmäßig die Freeware Sandboxie verwenden, dadurch erhöht sich der Schutz auf fast 99%. Nichts ist natürlich 100%. Es gibt sicherlich noch andere Methoden wie z.B. das surfen mit einer Linux Live CD usw..
Fängt man sich nun trotz aller Maßnahmen was ein, dann kann der Abgleich sicherlich nützliche Dienste leisten. Nur wissen die meisten Anwender nur nicht wie sie diese schädlichen Dateien dann entfernen können! Weil häufig auch die Antivirenlösungen die es schon kennen dann versagen (geblockte Malware). Dann ist es halt doch sinnvoll sich ein Sicherheitsforum zu wenden, wo man gute und kostenlose Hilfe bekommt!