Wirkungslose Antimalware: Schädlinge trotzdem erkennen

Malware, die Sicherheitsmechnismen namhafter Anbieter von Antivirenprogrammen austrickst, nimmt zu. ZDNet zeigt, wie man Schadsoftware erkennen kann, Schlupflöcher stopft und die Schädlinge von seinem Rechner wieder entfernt.

Malwareprogrammierer betreiben oft einen großen Aufwand, um einen installierten Virenschutz zu umgehen. Das erkennt jeder, der sich auf den Webseiten der Antivirenhersteller über die technischen Details neuer Schädlinge informiert. Dabei werden nicht selten Routinen verwendet, die gezielt gegen einen Hersteller von Sicherheitssoftware gerichtet sind - meist mit Erfolg. In diesem Fall reicht es nicht aus, dass der Hersteller seine Signaturdatenbank aktualisiert, sondern er muss eine neue Programmversion herausbringen, die die Umgehungsroutinen der Schadsoftware erkennt und ausschaltet.

Ein anderer Grund liegt einfach darin, dass die Antivirenhersteller der großen Menge an neuer Malware nicht mehr begegnen können. Täglich finden Virenjäger mehrere tausend neue Schädlinge - oft erst Tage oder Wochen, nachdem ihre Verbreitung begonnen hat.

Alles in allem bieten Antivirenprogramme keinen ausreichenden Schutz mehr, um vor einer Verseuchung sicher zu sein. Das bedeutet nicht, dass man auf eine Schutzlösung verzichten sollte. Malware, die weit verbreitet ist oder großen Schaden anrichtet, erkennen namhafte Antimalwarelösungen nach wie vor zuverlässig. Man muss jedoch davon ausgehen, dass die Gefahr, sich eine Schadsoftware einzufangen, mit einem Antivirenprogramm heute größer ist als noch vor fünf Jahren ganz ohne jeden Malwareschutz.

Wenn man Anzeichen eines Malwarebefalls erkennt, obwohl man eine aktuelle Antivirenlösung installiert hat, dann ist es sinnvoll, sich selbst auf die Suche zu machen. Relativ einfach sind solche Anzeichen zu erkennen, wenn es sich um Malware mit Adware-Komponenten handelt. Derartige Schädlinge geben sich keine Mühe, unentdeckt zu bleiben. Sie verändern die Homepage des Browsers, und Webseiten, die definitiv werbefrei sind, zeigen plötzlich Pop-ups mit dubiosem Inhalt an, obwohl ein Pop-up-Blocker aktiviert wurde.

Schwieriger wird es bei Anzeichen von Malware, die definitiv unentdeckt bleiben will, wie Botnets oder Spyware, die auf der Suche nach persönlichen Daten auf der Festplatte ist. Zu den Anzeichen gehören häufige Abstürze von Programmen, die bisher gut funktioniert haben, eine langsame Internetverbindung, keine oder verzögerte Reaktion auf Maus und Tastatur und der Anstieg des Internetdatenvolumens. Solche Probleme können, müssen aber keinesfalls von Malware verursacht worden sein. Oft ist der Grund für solche Effekte qualitativ schlechte Software, meist in Form von Kernel-Mode-Treibern. Installiert man beispielsweise einen Noname-DVB-T-Stick inklusive Treiber und stellt anschließend eine Verschlechterung der Gesamtperformance fest, so ist es eher unwahrscheinlich, dass man sich Malware eingefangen hat. Auch Treiber mit WHQL-Logo^[1] sind oft miserabel programmiert, so dass man besser auf das Hardwaregerät verzichtet.

Zu einer erfolgreichen Suche nach einem Schädling gehört grundsätzlich, dass man möglichst weiß, was auf dem eigenen Rechner laufen darf und was nicht. Eine Malware, die nicht gerade Kernel-Mode-Rootkit-Technologien^[3] zur Tarnung verwendet, ist immer sichtbar und auffindbar. Die meisten Schädlinge verwenden keine Kernel-Mode-Rootkit-Technologien, weil ihre Entwicklung sehr aufwändig sind. Malwareprogrammierer vertrauen überwiegend auf konventionelle Schadsoftware, wobei ihnen der Erfolg Recht gibt.

Bei neueren Windows-Betriebssystemen ist es nicht einfach, zu erkennen, welche Prozesse, Treiber und Dienste zum Betriebssystem gehören. Das gilt insbesondere für Windows Vista. Ohne die Hilfe von Tools ist manuell nichts zu machen. Das Prinzip der manuellen Erkennung einer Schadsoftware ist jedoch recht simpel:

1. Dokumentation aller laufenden Prozesse, Dienste und Treiber möglichst nach der Erstinstallation des Rechners
2. regelmäßiges Vergleichen der ursprünglichen Liste mit einer neu erstellten
3. Zuordnung aller neu hinzugekommenen Prozesse, Dienste und Treiber zu legitimer Software
4. Identifizierung und Entfernung von Malware-Komponenten

Das hört sich in der Theorie jedoch einfacher an, als es in der Praxis ist. Zwar kann man nach dem Booten leicht den Windows-Taskmanager starten und sich alle Prozesse anschauen, jedoch fällt es schwer, zu überblicken, ob und was eventuell dazugekommen ist. Die einfachste Möglichkeit ist die Verwendung des Kommandozeilenbefehls Wmic. So erhält man beispielsweise mit dem Befehl "Wmic Path Win32_Systemdriver Get Description,Name,State,Pathname" eine Übersicht über alle Kernel-Mode-Komponenten, siehe Bild 1^[4]. Hängt man an den Befehl ">Drivers-2009-01-09.txt" an, so wird die Ausgabe in die Datei Drivers-2009-01-09.txt umgeleitet.

Auf diese Weise lässt sich nach der Erstinstallation oder zu einem beliebigen Zeitpunkt, bei dem man davon ausgeht, dass der Rechner frei von Malware ist, dokumentieren, welche Kernel-Mode-Software installiert ist. Mit demselben Befehl ist es möglich, in regelmäßigen Abständen oder spätestens, wenn der Verdacht besteht, dass man sich eine Schadsoftware eingefangen hat, eine Vergleichsliste zu erstellen, beispielsweise mit "Wmic Path Win32_Systemdriver Get Description,Name,State,Pathname >Drivers-2009-01-23.txt".

Diese beiden Dateien werden nun miteinander verglichen. Dazu eignet sich beispielsweise das Freeware-Programm Windiff^[5]. Schnell sieht man wie in Bild 2^[6], dass eine Veränderung stattgefunden hat. Ein Treiber, der sich als "Windows Internet Accelerator" tarnt, ist in Wirklichkeit ein Werbe-Pop-up. Verdächtig ist das Verzeichnis C:\$HACKERZ$ und der Dateiname AdPopup.sys.

Analog dazu geht man mit Prozessen und Diensten vor. Die Prozesse lässt man sich sinnvollerweise in eine Datei schreiben, nachdem man sich eingeloggt, aber noch kein Programm gestartet hat. Dazu wird der Befehl "Wmic Process Get Caption,ExecutablePath" verwendet. Alle Dienste listet der Befehl "Wmic Service Get Caption,Started,Startmode,Pathname,Name" auf.

Das Verfahren, Prozesse, Dienste und Treiber zu vergleichen ist zwar mit einem gewissen Aufwand verbunden, aber im Endeffekt schnell durchgeführt. Fast alles kann mit Windows-Bordmitteln durchgeführt werden. Lediglich ein Dateienvergleichsprogramm muss der Anwender herunterladen. Schwieriger ist es, neue Komponenten, die auf diese Weise gefunden werden, zuzuordnen. Jedes Gerät, dass man anschließt, erzeugt mindestens einen neuen Kernel-Mode-Dienst.

Um die Identifizierung zu erleichtern, sollte man beim Einspielen von Software ein wenig aufpassen und sich vor allem merken, in welches Verzeichnis sich die Software installiert. Ermittelt man anschließend mittels Wmic-Befehlen, was neu hinzugekommen ist, so kann der Pfadname die Zuordnung erleichtern. Zu beachten ist, dass Kernel-Mode-Treiber fast immer in das Verzeichnis C:\Windows\System32\Drivers installiert werden, unabhängig davon, was man als Installationspfad für eine Software gewählt hat.

Neu hinzugekommene Komponenten, die man nicht identifizieren kann, darf man getrost zunächst einmal auf die Verdachtsliste für eine Malware setzen. So einfach wie in Bild 2^[6] machen es einem die meisten Schädlinge nicht, dass sie sich in einem Verzeichnis mit dem Namen C:\$HACKERZ$ einnisten. In der Regel verstecken sie sich in bekannten Verzeichnissen, etwa Unterverzeichnissen von C:\Program Files oder C:\Windows, und tragen Namen, die suggerieren, sie seien Teil des Betriebssystems, beispielsweise csrrss.exe. Diese Datei kann leicht mit dem Win32-Subsystem csrss.exe verwechselt werden, ist aber in Wahrheit der Wurm W32.Rbot-BBH.

Um auszuschließen, dass es sich bei einer neu gefundenen Datei um einen Schädling handelt, kann man einen Black-, White- und Greylistinganbieter wie Greatis.com^[7] nutzen. Hat man etwa die Datei uliagpkx.sys als neuen Treiber gefunden, so kann man sich dort versichern, dass es sich um einen Original-Treiber von Vista handelt, siehe Bild 3^[8].

Ebenso lässt sich bei Greatis nachschauen, dass es sich bei der Datei lvcm.sys um einen Treiber für Logitech-Webcams handelt. Wer sich ganz sicher ist, dass er zu keinem Zeitpunkt eine Webcam installiert hat, sollte trotzdem Verdacht schöpfen. Dann handelt es sich vermutlich um eine Schadsoftware mit gleichem Namen. Entwarnung gibt es dagegen, wenn man eine Webcam von einem vermeintlich anderen Hersteller installiert hat. Das bedeutet in der Regel, dass es sich um ein OEM-Modell handelt, welches dieselben Treiber verwendet.

Generell sollte man gelassen reagieren, wenn die MD5-Prüfsumme der verdächtigen Datei auf dem Rechner nicht mit der auf der Greatis-Website übereinstimmt. Das bedeutet meist, dass die Datei über Windows-Update ausgetauscht wurde, und nicht, dass sie verseucht ist. Das Austauschen von Original-Dateien durch Malware-Programmierer kommt zwar vor, ist aber äußerst selten.

Eher abzuraten ist davon, für eine verdächtige Datei eine Google-Suche durchzuführen. Die Informationen, die man in verschiedenen Foren findet, sind wenig zuverlässig und in der Regel widersprüchlich. Sinnvoll ist eine Google-Suche nur, wenn man nur Suchergebnisse bekannter Sicherheitsunternehmen wie Symantec, Avira, McAfee, AVG, F-Secure und Kaspersky berücksichtigt. Auch bei den namhaften Herstellern muss beachtet werden, dass sie User-Diskussionsforen betreiben, in denen man viele Falschinformationen findet.

Das Verfahren, sich regelmäßig einen Überblick zu verschaffen, welche Dienste, Treiber und Prozesse auf dem eigenen Rechner laufen, ist nicht nur eine gute Ergänzung zur Antimalware-Lösung, sondern auch eine sehr gute Methode, um weitere Formen von unerwünschter Software vom Rechner fern zu halten. Shareware- und Freeware-Programme haben oft die Unsitte, dass sie nervende Zusatzgimmicks installieren, die meist in die Kategorie Spyware oder Adware einzuordnen sind. Die Hersteller von Antimalware-Lösungen "trauen" sich aber nicht, diese Programme dementsprechend zu klassifizieren.

Wer eine nervende Toolbar des größten Suchmaschinenanbieters der Welt als Spyware einstuft, nur weil sie ständig anonyme Nutzungsinformationen "nach Hause telefoniert", wird vielleicht nicht mehr so weit oben in Suchergebnissen stehen.

Teilweise muss man bei der Installation von Share- und Freeware genau aufpassen, welche Häkchen man besser abwählt. Ein interessantes Beispiel ist das Instant-Messaging-Programm Trillian. Bild 4^[9] zeigt einen noch leicht zu durchschauenden Dialog des Installationsprogamms. Man kann sich leicht denken, dass der kostenlose Wetterkanal nicht nur die Temperatur, sondern auch Werbung anzeigt. Doch bereits der nächste Dialog, siehe Bild 5^[10], versucht den Anwender regelrecht reinzulegen.

Wer gewohnt ist, die Lizenzbedingungen akzeptieren zu müssen, damit die Installation nicht abbricht, wird auch das Häkchen beim Satz "I accept the license agreement and want to install the free Ask Toolbar" (deutsch: Ich akzeptiere die Lizenzvereinbarung und möchte die kostenlose Ask-Toolbar installieren) gesetzt lassen. Will man die Toolbar nicht haben, muss man das Häkchen allerdings abwählen. Die Installation geht trotzdem weiter.

Für diese Art des "Unterschiebens" unerwünschter Software gibt es viele Beispiele. Hat man einmal bei der Installation nicht aufgepasst, hilft das regelmäßige Überprüfen aller laufenden Software auf dem Rechner, die unerwünschte Software zu erkennen und wieder zu entfernen.

Die Entfernung von echter Schadsoftware ist in der Regel schwieriger als die Deinstallation untergeschobener Software, von der sich meist über die Systemsteuerung wieder befreien kann. Wenn immer möglich, sollte man dazu die Systemwiederherstellung^[11] nutzen. Das setzt voraus, regelmäßig, möglichst wöchentlich, einen Wiederherstellungspunkt anzulegen.

Es ist keine Frage, dass jeder Wiederherstellungspunkt das System langsamer macht, daher sollen alte Wiederherstellungspunkte, die älter als zwei bis drei Monate sind, ebenso regelmäßig gelöscht werden. Von der manuellen Entfernung von Malware, beispielsweise durch Löschung von schädlichen Dateien, ist dringend abzuraten.

Werden solche Dateien als Dienst oder Kernel-Komponente gestartet, so bleibt der Dienst erhalten, der die Datei startet. Hat der Malware-Programmierer die Fehlerbehandlung für diesen Dienst oder Treiber so eingestellt, dass er als "notwendig" eingestuft wird, so gibt es den gefürchteten Blue-Screen, wenn die Datei gelöscht wurde. Andere Malware wiederum überprüft, ob noch alle Dateien der Schadsoftware vorhanden sind. Hat man nicht alle Dateien vollständig entfernt, kann es ebenfalls zu einem Absturz kommen.

Relativ selten fängt man sich Malware ein, die alle Systemwiederherstellungspunkte löscht. Dann muss man in der Tat eine manuelle Entfernung vornehmen oder auf die Suche gehen, ob es bereits Säuberungstools gibt. Davon kann man in der Regel jedoch ausgehen. Die meisten Hersteller von Sicherheitssoftware stufen einen Schädling, der die Systemwiederherstellung manipuliert, als kritisch ein und veröffentlichen meist kostenlose Entfernungstools. So hat F-Secure für den Wurm Conficker.B, der ab dem 1. Januar 2009 aktiv wurde, schon am 3. Januar 2009 ein Entfernungstool^[12] bereitgestellt.

Das manuelle Entfernen von Diensten und Kernel-Mode-Komponenten sollte nur von sehr erfahrenen Benutzern vorgenommen werden. Die Wahrscheinlichkeit, dass der Rechner nach dem nächsten Start nicht mehr hochfährt, ist groß.

Wer sich wirkungsvoll vor Malware schützen will, kann sich allein auf eine gute Antimalware nicht mehr verlassen. Die Gefahr, sich trotzdem einen Schädling einzufangen, ist groß.

Viele Sicherheitshinweise, etwa, nur seriöse Webseiten zu besuchen, ActiveX, Java, Scripting, DHTML und andere Features im Browser abzuschalten, und dass Browser-Erweiterungen wie Flash Teufelswerk seien, bieten zwar tatsächlich einen gewissen Schutz, schneiden den Benutzer jedoch von vielen Kommunikationsmöglichkeiten ab.

In gewisser Weise erinnert diese Vorgehensweise an die seinerzeit wichtige C2-Sicherheitszertifizierung von Windows NT. Microsoft bewarb Windows NT als erstes Betriebssystem, dass die C2-Zertifizierung erhalten hatte. Allerdings war diese Zertifizierung an Bedingungen geknüpft. Eine davon lautete, dass keine Netzwerkkarte in den Rechner eingebaut sein durfte.

Besser ist es, sich mit einigen Interna des Betriebssystem vertraut zu machen. Dazu gehört das regelmäßige Vergleichen, welche Dienste, Prozesse und Treiber neu hinzugekommen sind. Die Verwendung eines Kommandozeilentools wie Wmic und eines Dateienvergleichsprogramm kostet wenig Zeit und nützt recht viel. Das einfache Wissen darüber, welche neue Komponente eines laufenden Systems welchen Zweck erfüllt, ist eine wirkungsvolle Methode, um Malware in vielen Fällen zu erkennen und Schädlinge von Nützlingen unterscheiden zu können.

URLs in diesem Artikel:
[1] = http://de.wikipedia.org/wiki/WHQL
[2] = http://www.zdnet.de/galerie/39200968/vorsicht-malware-so-erkennt-man-die-gefahr.htm#sid=39200872
[3] = http://www.zdnet.de/sicherheits_analysen_meister_der_tarnung_was_man_ueber_rootkits_wissen_sollte_story-39001544-39199993-2.htm
[4] = http://www.zdnet.de/security/gallery/0,39029246,39200968,00.htm
[5] = http://www.grigsoft.com/download-windiff.htm
[6] = http://www.zdnet.de/security/gallery/0,39029246,39200968-2,00.htm
[7] = http://www.greatis.com/appdata/
[8] = http://www.zdnet.de/security/gallery/0,39029246,39200968-3,00.htm
[9] = http://www.zdnet.de/security/gallery/0,39029246,39200968-4,00.htm
[10] = http://www.zdnet.de/security/gallery/0,39029246,39200968-5,00.htm
[11] = https://www.microsoft.com/germany/kleinunternehmen/tipps-und-tricks/windows/winxp-systemwiederherstellung-verwenden.mspx
[12] = http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml#disinf