VIREN UND SPYWARE ENTFERNEN

Teil 4: PC verseucht - was tun?

Die effizienteste Bekämpfungsstrategie orientiert sich immer an den bösartigsten Schädlingen. Nach derzeitigem Kenntnisstand sind das RATs und Rootkits. Mit Remote Access Tools wird ein damit infiziertes System zum Zombie-Rechner. Im Prinzip können damit alle PC-Aktionen hinter dem Rücken des Anwenders ferngesteuert werden. Eines der bekanntesten Tools ist hier CIA 1.3.

PC verseucht - was tun?

© Archiv

Wer in Rootkits versteckte Malware mit den falschen Tools entfernen will, bürdet sich eine Sisyphusarbeit auf.

Rootkits sind weniger Malware als vielmehr eine Technologie, mit der sich andere Schädlinge vor dem Entdeckt- und Beseitigtwerden schützen. Zur gefährlichsten Kategorie zählen Kernel-Rootkits, die sich etwa im Kernel verankern und von dort alle Scan- und Desinfektionsaktivitäten, die über die Win API gesteuertwerden, manipulieren und abwehren. Esmacht daher nur bedingt Sinn, diesen versteckten Schädlingen mit Standard-Tools (Spyware Search&Destroy, Hijack This oder klassischen Virenscannern) auf den Leib rücken zu wollen: Erstens werden sie nicht erkannt, und zweitens, selbstwenn sie erkannt werden, können sie aufgrund der Rootkit-Schutzmechanismen nicht aus dem System entfernt werden. Es spricht zwar nichts dagegen, vor dem Anti-Rootkit-Einsatz eine Grundreinigung mit den klassischen Malware-Scannern vornehmen, aber häufig wird es einem ergehen wie in der Antike Sissyphus: Immer wieder musste er den Stein auf den Berg heraufschleppen und immer wieder ließen ihn die Götter wieder ins Tal rollen. Von daher hat man gute Chancen, dem Schicksal einesmodernen Sissyphus (siehe Beispiel) zu entgehen, wenn man die Reihenfolge umdreht und zuerst die Anti-Rootkits einsetzt und dann die (ungetarnten) sonstigen Schädlinge von der Platte putzt.

Es gibt eine Reihe von guten und vor allem kostenlosen Werkzeugen, um auch die tückischsten Schädlinge zu enttarnen: Rootkit Revealer von www.sysinternals.com (reines Diagnosewerkzeug), Black Light von www.fsecure.com (Diagnose + Therapie), System Virginity Verifier von http://invisiblethings.org (reines Diagnosewerkzeug; Systemkenntnisse unerlässlich), DarkSpy Anti-Rootkit von www.fyyre.net/~cardmagic (Diagnose + Therapie) und IceSword, etwa unter www.majorgeeks.com/download5199.html (Diagnose + Therapie).

PC verseucht - was tun?

© Archiv

Rootkits auf der Spur: IceSword listet nach einem Scan des System Service Descriptor Tables verdächtige Systemdateien auf.

Die Erkennungsstrategien dieser Tools sind vergleichbar; die meisten nutzen die Diff-Technik. Sie verankern sich ebenfalls im Kernel und starten dort zwei Systemsscans: einen von der User-Ebene und einen von der Kernelebene aus. Ist ein Rootkit aktiv, weichen diese Ergebnisse voneinander ab, da ein Rootkit den Scan über die Userebene manipuliert, etwa um seine Dateien oder Registryeinträge zu verstecken. In der Praxis arbeitet Black Light sehr zuverlässig; insbesondere benötigt der Anwender keine größeren Systemkenntnisse zur Toolbedienung. Demgegenüber sind die Analyseergebnisse des Rootkit Revealers und verstärkt die des System Virginity Verifiers (Kommandozeilentool) stark interpretationsbedürftig. DarkSpy und IceSword, beide von chinesischen Security Groups entwickelt, verkörpern innovative Lösungsansätze, um den Rootkit-Entwicklern das Leben so schwer wie möglich zu machen. Mein persönlicher Favorit ist IceSword, weil hier verräterische Prozesse, Dateien, Dienste und Treiber leichter zu enttarnen und vor allem auch elegant zu beseitigen sind. IceSword wie auch DarkSpy können live auch getarnte und geschützte Malware beseitigen: auf Prozess-, Datei- und Registryebene, ohne dass diese sich vor dem Zugriff schützen können. Aus diesem Grund ist es wichtig, Rootkit-Jäger am lebenden System auf ihre Beute zu hetzen. Im Abgesicherten Modus beziehungsweise von einer Start-CD aus können sie keine Systemveränderungen registrieren. Als "Kammerjäger" sollten Sie vor allem eines bedenken: Die Ergebnisse der Rootkit- Scanner müssen sorgfältig beurteilt werden. So liefert ein Scan des System Service Descriptor Tables (SSDT, wo sich Rootkits gerne einhängen, um die WIN API zu manipulieren) mit IceSword einige Hinweise auf verdächtige Systemdateien. Man muss hier allerdings beachten, dass sich dort auch Securitytools (etwa Zonelarm Pro mit der inkriminierten Datei vsdata.sys) verewigen. Wenn man sich nicht absolut sicher ist, lässtman besser weitere Rootkit-Scanner drüber laufen. In unserem Beispiel ist die crusoe2k.sys höchst verdächtig. Der Verdacht wird zur Gewissheit durch die Ergebnisse des Rootkit Revealers und des System Virginity Verifiers:

Nach einem manuellen Check des Windows Systemverzeichnis system32drivers findet man zwar nicht die crusoe2k.sys, dafür aber die Dateien ininipnt.sys.ren und rasex.sys.ren. Jetzt wird die Sache klarer, der Schädling (es handelt sich hierbei um einen Keylogger mit Stealthmode) manipuliert die WIN API mit einer Treiberdatei, die sich dem direkten Zugriff entzieht, zusätzlich hat der Schädling zwei Systemdateien ersetzt. An der Stelle wird der Expertentipp, ein (schwer) kompromittiertes System neu aufzusetzen, recht einleuchtend. Da man nie mit letzter Gewissheit sagen kann, welche Systemdateien manipuliertwurden, kann man dem befallenen System nicht mehr vertrauen. In unserem Fall, wo die Infektion scharf umrissen ist, lohnt eine Desinfektion trotzdem. Im Dateiexplorer von IceSword wird die vor dem Betriebssystem versteckte Datei gefunden und gelöscht; anschließend werden die ersetzten Systemdateien gelöscht und die alten umbenannt. Online-Banking sollten Sie auf diesem Rechner nicht mehr machen.

PC verseucht - was tun?

© Archiv

Crusoe.sys auf der Spur: Diese Datei hat sich in eine andere Datei eingeklinkt und ist deshalb hoch verdächtig. Sammeln Sie solche Beweise, um eventuell vorhandene Rootkits auf Ihrem System sicher zu identifizieren.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.