Schädlinge, die kein Scanner findet und wie Sie sich schützen

Teil 2: Virenabwehr ausgetrickst

  1. Virenabwehr ausgetrickst
  2. Teil 2: Virenabwehr ausgetrickst

AVG Anti-Rootkit Free ist ein kostenloser leistungsstarker Rootkit-Scanner, der auch in ADSStreams sucht und entdeckte Schädlinge löschen kann.

Virenabwehr ausgetrickst

© Archiv

Der AVG Scanner findet das von den Testern eingeschleuste Rootkit an verschiedenen Stellen und kann die Dateien und Verweise sicher löschen.

Die Installation der englischsprachigen Software AVG Anti-Rootkit Free ist rasch erledigt. Sie können das Programm auf der Website von AVG (http://free.grisoft.com /doc/ 5390#avg-anti-rootkit-free) kostenlos herunterladen. Nach einem Windows- Neustart steht einer Überprüfung nach verborgenen Rootkits nichts mehr im Weg. Für eine schnelle Analyse drücken Sie die linke Schaltfläche "Search for rootkits".

Eine tiefergehende Untersuchung starten Sie mit "Perform in-depth search". Hierbei wählen Sie die zu untersuchenden Festplatten aus und klicken auf den Button "Scan". Je nach Größe der Festplatte kann der gründliche Scan mehrere Stunden dauern. Nach Beendigung erscheinen die Treffer mit Name und Pfadangabe in einer Liste. Setzen Sie ein Häkchen vor einen Eintrag und starten Sie den Löschvorgang per Klick auf "Remove selected items".

Nach Rootkits scannen - F-Secure Blacklight

Doppelt hält besser. Vertrauen Sie nicht nur einem Rootkit-Scanner, sondern nutzen Sie das Know-how verschiedener Anbieter – in diesem Fall das des Herstellers F-Secure und dessen Tool Blacklight.

Virenabwehr ausgetrickst

© Archiv

Der als Vorabversion deklarierte Rootkit-Scanner Blacklight von F-Secure ist in zwei Versionen verfügbar. Als Windows- Anwendung mit grafischer Oberfläche und als Kommandozeilen- Tool für die automatische Verwendung in Skripten. Wir verwenden letztere Version.

Eine Installation der Software ist nicht erforderlich. Das Tool startet direkt per Doppelklick auf die Datei "fsbl.exe". Nach einem Klick auf den Scan-Button beginnt es augenblicklich mit der Suche nach Rootkits.

Das Tool fahndet nach versteckten Prozessen und forscht auch nach getarnten Dateien und Verzeichnissen. Zusätzliche Einstellungsmöglichkeiten für Fortgeschrittene gibt es hier nicht.

Eine Beta-Version der F-Secure BlackLight-Software dürfen Sie bis zum 1. Oktober 2007 gratis herunterladen (http://www.f-secure.de/ blacklight/try_blacklight.html) und verwenden.

Rundumschutz - Gdata Internet Security 2007

Mit GData Internet Security 2007 steht Ihnen ein Rundumschutz gegen Online-Bedrohungen zur Verfügung.

Virenabwehr ausgetrickst

© Archiv

Das umfangreiche Sicherheitspaket sucht mit der so genannten Double- Scan-Technologie nach schädlichen Codes auf Ihrem System und enthält neben einer Firewall, einer Kindersicherung sowie Spam- und Web-Filter auch einen Rootkit-Stopper.

Windows im Käfig betreiben: Keine Chance für unsichtbare Tools - Virtual Box

Installieren und betreiben Sie Windows in einer virtuellen Maschine, isolieren Sie jede Art von Malware in einem Käfig, zum Beispiel mit der Open-Source-Software Virtual Box.

Virenabwehr ausgetrickst

© Archiv

Mit VirtualBox legen Sie virtuelle Maschinen an, in die Sie anschließend Windows XP installieren.

Das kostenlose Virtualisierungs-Tool Virtual Box ist trotz großer Funktionsfülle einfach zu bedienen, schnell und komfortabel. An Gast-Systemen wird neben Windows XP und Linux auch Vista unterstützt.

Nach der Installation der Software per Assistent legen Sie nach dem ersten Start eine neue virtuelle Maschine an. Anschließend installierten Sie Windows als Gast-Betriebssystem mit dem Assistenten zum Einrichten einer neuen virtuellen Maschine. Dazu klicken Sie auf "Next", vergeben einen beliebigen Namen für den virtuellen PC und stellen im Ausklappfeld "OS Type" das Betriebssystem ein.

Virenabwehr ausgetrickst

© Archiv

Der Betrieb von Windows in einer isolierten Umgebung schützt Ihr Produktivsystem vor Malware.

Nach einem Klick auf "Next" stellen Sie den Arbeitsspeicher ein, der in Abhängigkeit zum tatsächlich vorhandenen RAM steht. Es folgt die Einrichtung einer Festplatte mit der Einstellung "Dynamically expanding image" und der Start der virtuellen Maschine bei eingelegter Windows-XP-CD. Der Gast-PC bootet direkt vom Laufwerk des Host-PCs – installieren Sie XP wie gewohnt.

Ist das erledigt, installieren Sie noch die so genannten Guest Additions, um etwa ein Verzeichnis des Host-PCs zum einfachen Datenaustausch einzubinden. Mit der Snapshots-Funktion von Virtual Box speichern Sie verschiedene Systemzustände vom Gastbetriebssystem.

So können Sie ohne Infektionsrisiko im Web surfen und neue Software ausprobieren. Mit wenigen Mausklicks kehren Sie bei Bedarf wieder zum gewünschten Schnappschuss zurück.

Download VirtualBox (klicken)

Erweiterte Erkennung mit HELIOS

Die wohl leistungsstärkste und funktionalste Software zum Aufspüren von Rootkits ist HELIOS. Neben einer einfachen Lite-Version gibt es eine Expertenausgabe mit unzähligen Extras.

Virenabwehr ausgetrickst

© Archiv

Der Echtzeitschutz von HELIOS erkennt im Hintergrund versteckte Prozesse und schlägt sofort Alarm.

Bei der Bekämpfung von Schädlingen verfolgt HELIOS drei Ziele: Erkennung, Beseitigung und Impfung. Zur Erkennung überwacht HELIOS fortlaufend zahlreiche Systemparameter und vergleicht etwa Dateien. Entdeckte Prozesse können beendet und die dazugehörigen Dateien entfernt werden. Sicherheit, auch vor bis dato unbekannter Malware, soll die Impfung gewährleisten.

HELIOS stellt über die leicht verständliche Oberfläche verschiedene Funktionen bereit. "On Demand Scan" leitet eine manuelle Überprüfung der aktuell laufenden Prozesse ein. Anhand von Schnappschüssen werden Abweichungen lokalisiert, etwa auch Änderungen nach der Installation neuer Software.

"Toggle Background Scan" vergleicht kontinuierlich den Systemstatus mit zuvor erstellten Schnappschüssen und reagiert nur, wenn Abweichungen festgestellt werden. Über "Enable App Protection" schalten Sie den Anwendungsschutz ein. Dabei wird jede Anwendung zuerst auf ihre normalen Funktionen hin überprüft, danach fortlaufend, ob elementare Bestandteile und Funktionen verändert wurden.

Im Bereich "Inoculation" erstellen Sie Regeln zur Benutzung von Zugriffen auf Systemfunktionen. Wird das Modul zusammen mit dem Alarmmodus verwendet, erhalten Sie jederzeit Statusinformationen, etwa wenn eine bestimmte Datei aufgerufen, ein Treiber geladen oder ein Speicherbereich benutzt wird. Bei einer Manipulation durch einen Angreifer schlägt HELIOS sofort Alarm.

Im Scan-Modul gelangen Sie über Register zu den verschiedenen Funktionen. "System-Status" zeigt die jeweiligen Systemaktivitäten wie versteckte Prozesse sowie die aktuelle Einstellung der jeweiligen Schutzmodule an. Unter "Process-Information" werden aktive Prozesse aufgelistet. Hier können Sie etwa ausgewählte Prozesse beenden oder sichtbar machen. Gutes Extra: Mit einem Klick suchen Sie in Google nach Infos zu den Prozessen.

"Kernel-Module" liefert sehr detaillierte Infos zu aktuell benutzten Kernel-Modulen, sodass sich auch hier versteckte Rootkits finden lassen. Dazu gibt es noch den Reiter "System Calls", der Verbindungen und Abhängigkeiten von Prozessen zu Dateien aufzeigt, sowie den "Status-Log".

Download Helios (klicken)

Sicherheitslücke NTFS untersuchen - ADS Locator

Neben Rootkits lauert in scheinbar harmlosen Dateien eine weitere Gefahr. Denn Schädlinge können sich in unsichtbaren NTFS-Dateianhängen verstecken.

Virenabwehr ausgetrickst

© Archiv

Die Überprüfung mit dem ADS Locator liefert in unserem Beispiel eine scheinbar harmlose Textdatei mit einem verborgenen Trojaner.

Windows XP und Vista verwenden standardmäßig das NTFS-Dateisystem für die Formatierung einer neuen Festplatte. Doch sind auf NTFS-Partitionen Dateien gespeichert, die Ihnen verborgen bleiben. Weder der Explorer, noch ein alternativer Dateimanager kann diese Dateien sichtbar machen.

Diese Alternate Data Streams (ADS) machen sich mehr und mehr Schädlinge zu nutze, denn ADS lassen sich praktisch an jede Datei anheften, ihre Anzahl oder Größe ist nicht beschränkt.

Mit den Bordmitteln von Windows lassen sich ADS nicht feststellen. Dazu müssen Sie auf Freeware-Tools wie den ADS Locator zurückgreifen. Nach dem Aufruf der Software klicken Sie auf das Icon "Scan". Eine komplette Überprüfung der Festplatte kann sehr lange dauern.

Download ADS-Aufspürer (klicken)

Profi für einen Echtzeitschutz - GMER

Tiefer gehende Analysen ermöglicht das Profiwerkzeug GMER. Der Funktionsumfang der Software ist groß, eine Einarbeitung daher dringend erforderlich.

Virenabwehr ausgetrickst

© Archiv

GMER schlägt beim Start direkt Alarm und fordert zu einer gründlichen Überprüfung auf.

Die Freeware GMER arbeitet primär als Rootkit-Detektor, bringt aber zusätzlich noch ein Intrusion Prevention System (IPS) und eine Firewall mit. Beim ersten Start führt das Programm selbsttätig eine Schnellprüfung durch, bei verdächtigen Aktivitäten wird ein Komplettscan empfohlen.

Die Ergebnisse listet das Tool im Register "Rootkit" auf. Ein rechter Mausklick auf einen Eintrag erlaubt dann beispielsweise das Löschen im Kontextmenü. Ein Klick auf den Button "Kill all" unter "Processes" beendet alle Prozesse außer "CSRSS.EXE" und "GMER". Im "GMER Safe Mode" wird das Tool nach einem Windows-Neustart als einzige Anwendung ausgeführt, sodass dem Scanner keine anderen Programme in die Quere kommen.

Mithilfe der Funktion "System protection and tracing" im Register "Settings" schalten Sie das IPS ein. Dieses überwacht etwa das Starten neuer Prozesse, das Laden von Treibern und DLLs sowie Registry-Änderungen, Dateizugriffe und Netzwerkverbindungen.

Download GMER (klicken)

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.