Um die Identifizierung zu erleichtern, sollte man beim Einspielen von Software ein wenig aufpassen und sich vor allem merken, in welches Verzeichnis sich die Software installiert. Ermittelt man anschließend mittels Wmic-Befehlen, was neu hinzugekommen ist, so kann der Pfadname die Zuordnung erleichtern. Zu beachten ist, dass Kernel-Mode-Treiber fast immer in das Verzeichnis C:WindowsSystem32Drivers installiert werden, unabhängig davon, was man als Installationspfad für eine Software gewählt hat.
Neu hinzugekommene Komponenten, die man nicht identifizieren kann, darf man getrost zunächst einmal auf die Verdachtsliste für eine Malware setzen. So einfach wie in Bild 2 machen es einem die meisten Schädlinge nicht, dass sie sich in einem Verzeichnis mit dem Namen C:$HACKERZ$ einnisten. In der Regel verstecken sie sich in bekannten Verzeichnissen, etwa Unterverzeichnissen von C:Program Files oder C:Windows, und tragen Namen, die suggerieren, sie seien Teil des Betriebssystems, beispielsweise csrrss.exe. Diese Datei kann leicht mit dem Win32-Subsystem csrss.exe verwechselt werden, ist aber in Wahrheit der Wurm W32.Rbot-BBH.
Um auszuschließen, dass es sich bei einer neu gefundenen Datei um einen Schädling handelt, kann man einen Black-, White- und Greylistinganbieter wie Greatis.com nutzen. Hat man etwa die Datei uliagpkx.sys als neuen Treiber gefunden, so kann man sich dort versichern, dass es sich um einen Original-Treiber von Vista handelt, siehe Bild 3.
Ebenso lässt sich bei Greatis nachschauen, dass es sich bei der Datei lvcm.sys um einen Treiber für Logitech-Webcams handelt. Wer sich ganz sicher ist, dass er zu keinem Zeitpunkt eine Webcam installiert hat, sollte trotzdem Verdacht schöpfen. Dann handelt es sich vermutlich um eine Schadsoftware mit gleichem Namen. Entwarnung gibt es dagegen, wenn man eine Webcam von einem vermeintlich anderen Hersteller installiert hat. Das bedeutet in der Regel, dass es sich um ein OEM-Modell handelt, welches dieselben Treiber verwendet.
Generell sollte man gelassen reagieren, wenn die MD5-Prüfsumme der verdächtigen Datei auf dem Rechner nicht mit der auf der Greatis-Website übereinstimmt. Das bedeutet meist, dass die Datei über Windows-Update ausgetauscht wurde, und nicht, dass sie verseucht ist. Das Austauschen von Original-Dateien durch Malware-Programmierer kommt zwar vor, ist aber äußerst selten.
Eher abzuraten ist davon, für eine verdächtige Datei eine Google-Suche durchzuführen. Die Informationen, die man in verschiedenen Foren findet, sind wenig zuverlässig und in der Regel widersprüchlich. Sinnvoll ist eine Google-Suche nur, wenn man nur Suchergebnisse bekannter Sicherheitsunternehmen wie Symantec, Avira, McAfee, AVG, F-Secure und Kaspersky berücksichtigt. Auch bei den namhaften Herstellern muss beachtet werden, dass sie User-Diskussionsforen betreiben, in denen man viele Falschinformationen findet.
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…
Sie betreffen Windows 10, 11 und Windows Server. In SharePoint Server steckt zudem eine kritische…
Mozilla verteilt insgesamt 16 Patches für Firefox 125 und älter. Zudem entfernt der Browser nun…
Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…
Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…
Die App satellite wird künftig Telefongespräche in Echtzeit datenschutzkonform mit Hilfe von KI zusammenfassen.