Zu einer erfolgreichen Suche nach einem Schädling gehört grundsätzlich, dass man möglichst weiß, was auf dem eigenen Rechner laufen darf und was nicht. Eine Malware, die nicht gerade Kernel-Mode-Rootkit-Technologien zur Tarnung verwendet, ist immer sichtbar und auffindbar. Die meisten Schädlinge verwenden keine Kernel-Mode-Rootkit-Technologien, weil ihre Entwicklung sehr aufwändig sind. Malwareprogrammierer vertrauen überwiegend auf konventionelle Schadsoftware, wobei ihnen der Erfolg Recht gibt.
Bei neueren Windows-Betriebssystemen ist es nicht einfach, zu erkennen, welche Prozesse, Treiber und Dienste zum Betriebssystem gehören. Das gilt insbesondere für Windows Vista. Ohne die Hilfe von Tools ist manuell nichts zu machen. Das Prinzip der manuellen Erkennung einer Schadsoftware ist jedoch recht simpel:
- Dokumentation aller laufenden Prozesse, Dienste und Treiber möglichst nach der Erstinstallation des Rechners
- regelmäßiges Vergleichen der ursprünglichen Liste mit einer neu erstellten
- Zuordnung aller neu hinzugekommenen Prozesse, Dienste und Treiber zu legitimer Software
- Identifizierung und Entfernung von Malware-Komponenten
Das hört sich in der Theorie jedoch einfacher an, als es in der Praxis ist. Zwar kann man nach dem Booten leicht den Windows-Taskmanager starten und sich alle Prozesse anschauen, jedoch fällt es schwer, zu überblicken, ob und was eventuell dazugekommen ist. Die einfachste Möglichkeit ist die Verwendung des Kommandozeilenbefehls Wmic. So erhält man beispielsweise mit dem Befehl „Wmic Path Win32_Systemdriver Get Description,Name,State,Pathname“ eine Übersicht über alle Kernel-Mode-Komponenten, siehe Bild 1. Hängt man an den Befehl „>Drivers-2009-01-09.txt“ an, so wird die Ausgabe in die Datei Drivers-2009-01-09.txt umgeleitet.
Auf diese Weise lässt sich nach der Erstinstallation oder zu einem beliebigen Zeitpunkt, bei dem man davon ausgeht, dass der Rechner frei von Malware ist, dokumentieren, welche Kernel-Mode-Software installiert ist. Mit demselben Befehl ist es möglich, in regelmäßigen Abständen oder spätestens, wenn der Verdacht besteht, dass man sich eine Schadsoftware eingefangen hat, eine Vergleichsliste zu erstellen, beispielsweise mit „Wmic Path Win32_Systemdriver Get Description,Name,State,Pathname >Drivers-2009-01-23.txt“.
Diese beiden Dateien werden nun miteinander verglichen. Dazu eignet sich beispielsweise das Freeware-Programm Windiff. Schnell sieht man wie in Bild 2, dass eine Veränderung stattgefunden hat. Ein Treiber, der sich als "Windows Internet Accelerator" tarnt, ist in Wirklichkeit ein Werbe-Pop-up. Verdächtig ist das Verzeichnis C:$HACKERZ$ und der Dateiname AdPopup.sys.
Analog dazu geht man mit Prozessen und Diensten vor. Die Prozesse lässt man sich sinnvollerweise in eine Datei schreiben, nachdem man sich eingeloggt, aber noch kein Programm gestartet hat. Dazu wird der Befehl „Wmic Process Get Caption,ExecutablePath“ verwendet. Alle Dienste listet der Befehl „Wmic Service Get Caption,Started,Startmode,Pathname,Name“ auf.
Das Verfahren, Prozesse, Dienste und Treiber zu vergleichen ist zwar mit einem gewissen Aufwand verbunden, aber im Endeffekt schnell durchgeführt. Fast alles kann mit Windows-Bordmitteln durchgeführt werden. Lediglich ein Dateienvergleichsprogramm muss der Anwender herunterladen. Schwieriger ist es, neue Komponenten, die auf diese Weise gefunden werden, zuzuordnen. Jedes Gerät, dass man anschließt, erzeugt mindestens einen neuen Kernel-Mode-Dienst.
Neueste Kommentare
1 Kommentar zu Wirkungslose Antimalware: Schädlinge trotzdem erkennen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Anmerkung
Bis auf das Fazit ein schöner Beitrag. Wirkungsvoll schützt man sich aber nicht durch dieses Verfahren. Oft dauert es ja einige Zeit bis der Anwender bemerkt das etwas nicht stimmt, dann kann es aber schon zu spät sein. Wer gleicht schon ständig immer und immer wieder seine Dateien ab? Dann doch lieber zusätzlich zu einem guten Antivirenprogramm z.B. einfach regelmäßig die Freeware Sandboxie verwenden, dadurch erhöht sich der Schutz auf fast 99%. Nichts ist natürlich 100%. Es gibt sicherlich noch andere Methoden wie z.B. das surfen mit einer Linux Live CD usw..
Fängt man sich nun trotz aller Maßnahmen was ein, dann kann der Abgleich sicherlich nützliche Dienste leisten. Nur wissen die meisten Anwender nur nicht wie sie diese schädlichen Dateien dann entfernen können! Weil häufig auch die Antivirenlösungen die es schon kennen dann versagen (geblockte Malware). Dann ist es halt doch sinnvoll sich ein Sicherheitsforum zu wenden, wo man gute und kostenlose Hilfe bekommt!