Die IT-Hausapotheke

 Während Viren früher praktisch nur nervend waren, erlauben heutige Schädlinge (engl. Malware) das Anzapfen der ­Ressourcen des Wirtsystems über das Internet. Der PC wird zum „willenlosen Zombie“ oder fernsteuerbaren Roboter (abgekürzt Bot), der im Auftrag der Schädlingsprogrammierer als Teil eines dazugehörigen Bot-Netzwerkes für DoS-Attacken (Denial of Service) gegen internationale Server oder für den Spam-Versand zuständig ist. Selbst sitzt man dann vor dem Bildschirm und wundert sich, wieso das Internet heute wieder so langsam ist.

Virenschutz ist nicht gleich Malwareschutz

Zum Glück ist das Sicherheitsbewusstsein in den letzten Jahren gestiegen, sodass auf den meisten Workstations zumindest ­Virenscanner installiert sind. Vor allem die für Privatanwender kostenlosen Varianten wie Avira Antivir Personal Edition, avast! Free Antivirus und Microsofts Security Essentials dürften dafür gesorgt haben, dass heute kaum jemand ohne Schutz online geht. 

Zwischen den genannten und kommerziellen Produkten gibt es jedoch Unterschiede, die man kennen sollte. So sucht der klassische Virenschutz nur nach bekannten Schädlingen, die auch von den Antivirus-Herstellern in eine Datenbank eingepflegt werden. Wer also nicht regelmäßig Signatur-Updates durchführt, wird keine neuen Viren erkennen.

Trojaner hingegen schleichen sich getrarnt in (nützlichen) Programmen ins System und versuchen sich teilweise sogar mithilfe von sogenannten Rootkits vor Antivirenprogrammen und dem Benutzer zu verbergen. Nur wenn Ihre Security-Software mit Features wie „Heuristik“ oder „Verhaltenserkennung“ ausgestattet ist, sollten Sie auch hier abgesichert sein. Die Gratis-Lösungen bieten dies in der Regel nicht, weshalb spezielle Zusatztools wie das ebenfalls kostenlose ThreatFire parallel installiert werden sollten.

Bliebe noch das Einfallstor über den Browser, wo präparierte Webseiten Sicherheitslücken im System oder diverser Plugins (z. B. Flash-Player) ausnutzen, um die Malware einzuschleusen. Hier können nur die „Security Suites“ der fünf Major-Player am Antiviren-Markt von sich behaupten, relativ sicher zu sein, wie die Organisation AV-TEST.org in ihrem Quartalsbericht 2/2011 bescheinigte. 

Kontrolle ist besser

Nach dieser kurzen Einführung in das Thema Security & Malware, ergibt sich folgende Schlussfolgerung: Jeder IT-Verantwortliche, der nicht a) eine vollständige Security Suite oder mehrere aufeinander abgestimmte Tools auf den Workstations einsetzt und b) verbindliche Nutzungsvereinbarungen mit den Anwendern ausgemacht hat, sollte sich die nachfolgenden Hinweise und Prüfmethoden zu Herzen nehmen.

So tut man gut daran, die Nutzung des Firmenzugangs zu reglementieren - zum Beispiel im Arbeitsvertrag. Macht man dies nicht, können schwerwiegende Folgen drohen. So ist zum Beispiel für viele die Nutzung von Social-Media-Plattformen zur täglichen - wenn nicht stündlichen - Gewohnheit geworden. Warum also nicht in einer Arbeitspause das eigene Facebook-Profil pflegen? Das Risiko steigt, handelt man nicht mit Bedacht und akzeptiert Freundschaftsanfragen ohne weitere Kontrolle oder klickt Links in Nachrichten einfach blindlings an. Denn auch die Malware-Autoren wissen um die sorglosigkeit der Anwender - gerade bei solchen Plattformen - und ­nutzen diese schamlos aus, selbstredend.

Lieber nachsehen, als das Nachsehen haben

Haben Sie trotz aller Vorsicht den Verdacht, dass etwas mit dem Rechner nicht stimmt, folgen hier die Gratismittel aus der Windows-Hausapotheke. Dazu drei Hinweise: 1) Sollte eines dieser Tools nicht funktionieren oder erst gar nicht gestartet werden können, so ist eine Infektion mehr als wahrscheinlich! 2) Auch helfen sie nur bedingt gegen aktuellste Rootkits, die teilweise sogar schon eigene Bereiche der Festplatte vereinnahmen, nur um sich vor den Scans der Security Suiten zu verstecken. 3) Sie benötigten Administrator-Rechte!  Da ein infizierter Rechner immer Kontakt zum Bot-Netzwerk sucht, ist es am effizientesten, die aktuell aufgebauten Verbindungen des betroffenen Systems zu analysieren. 

Die Schritt-für-Schritt-Durchuntersuchung für Ihren PC:

1

Geben Sie „cmd“ in das Suchfeld des Startmenüs ein und klicken Sie auf das oben angezeigte Ergebnis mit der rechten Maustaste. Nun wählen Sie aus dem erscheinenden Kontextmenü „Als Administrator ausführen“. Es öffnet sich - nach Bestätigung der Benutzerkontensteuerung - die Eingabeaufforderung. Benutzer von Windows XP oder früher erledigen dies über [Start],   [Ausführen], Eingabe von cmd.exe, gefolgt von [Enter]. 

2

Geben Sie den Befehl netstat -aon | more ein. Das Pipe-Symbol für seitenweise Ausgabe befindet sich üblicherweise links unten - rufen Sie es mit „Alt Gr“ auf. Als Ergebnis erhalten Sie eine Liste aller Programme (= Prozesse), welche gerade eine Verbindung im Netzwerk geöffnet haben bzw. auf Anfragen von externen Systemen warten. Erschrecken Sie nicht, 100 oder mehr (potenzielle) Verbindungen sind für typische Systeme keine Seltenheit. Worauf Sie achten müssen, sind die letzten drei Spalten: unter „Remoteadresse“ sind all jene Einträge relevant, die weder 0.0.0.0 noch 127.0.0.1 bzw. [::] aufweisen und deren „Status“ mit „Hergestellt“ beschriftet ist. Falls vorhanden (wie die eine Zeile in unserem Screenshot), notieren Sie sich bitte die dazugehörige PID aus der letzten Spalte.

3a

Nun rufen Sie den Taskmanager auf, welcher in jeder Windows-Version ab 2000 über die Tastenkombination [Strg]&[Alt]&[Entf] erreichbar ist. Dieser zeigt Ihnen im gleichnamigen Tabellenreiter die aktuell laufenden Prozesse an. Zuvor gilt es jedoch, diese Anzeige (einmalig) etwas zu erweitern, so dass wir die wirklich relevanten Informationen zu Gesicht bekommen. Dafür müssen Sie im obigen Menü zu „Ansicht“ ? „Spalten auswählen...“ durchklicken und im folgenden Fenster ein Häkchen vor „PID (Prozess-ID)“ und vor „Abbildpfadname“ setzen. Nach der Bestätigung mittels „OK“ befinden Sie sich wieder in der Prozessliste.  

3b

Einige Schädlinge laufen mit der Kennung des Benutzers, der ihn sich eingefangen hat, darum sollten Sie auf jeden Fall noch „Prozesse aller Benutzer anzeigen“ anklicken. Hier können Sie nun nach der notierten PID Ausschau halten und sich den Abbildnamen und dazugehörigen -pfadnamen heraussuchen. Zur Info: Sofern Sie ein 64-Bit-System besitzen, deutet die Zeichenfolge „*32“ hinter dem Abbildnamen auf einen 32-Bit-Prozess hin. Und da 64-Bit-Schädlinge noch relativ selten sind, konzentrieren sich ­Experten zuerst auf diese Prozesse. 

4

Den so erhaltenen Namen geben Sie nun einfach in eine Suchmaschine ein. Da (vermeintlich) unbekannte Programme, die zudem im Hintergrund laufen, ein aktuelles Thema sind, sollten Sie bereits bei den ersten Treffern fündig werden. Es gibt nämlich unzählige Seiten im Netz, die sich mit der Aufschlüsselung dieser Programmnamen beschäftigen. Wir haben als Beispiel gleich die erste Zeile (armsvc.exe) aus unserem Screenshot eingegeben und sehen schnell, dass es sich hierbei um den „Adobe Acrobat Update Service“ handelt, der dafür sorgt, dass der Reader des gleichnamigen Unternehmens immer aktuell gehalten wird.

Tipp: Kontrollieren Sie unbedingt auch, dass der auf der Website angegebene Pfad mit dem Abbildpfadnamen übereinstimmt. Malware-Autoren verwenden für ihre Werke meist ähnlich klingende Namen oder bekannte Namen mit alternativem Pfad, in der Hoffnung, dass der Anwender sie übersieht. So verbirgt sich beispielsweise hinter „lsass.exe“ im Ordner C:WindowsSystem32 der sogenannte Sicherheits-Authentifizierungsserver, welcher für die Benutzeranmeldung zuständig ist, während es sich bei „lsasss.exe“ hingegen um den altbekannten Sasser-Wurm handelt, der das ­System herunterfährt!  

5a

Um den Suchradius im System zu erhöhen und auch Schädlinge zu finden, die sich im laufenden Betrieb tarnen können, empfiehlt sich zuguterletzt auch noch der Aufruf von „msconfig.exe“ (wieder über das Suchfeld des Startmenüs). Ein Blick in den Tabellenreiter „Systemstart“ listet die Programme auf, welche beim Starten des Betriebssystems automatisch ihren Dienst aufnehmen. Hier gilt als grobe Faustregel: Einträge, welche in der Spalte „Befehl“ auf Userverzeichnisse zeigen (z. B. „C:Dokumente und Einstellungen...“, „C:Benutzer...“, %localappdata% oder %userprofile%) sind typische Malware-Kandidaten. Selbst der berüchtigte Zeus-Trojaner legt sich auf diese Weise im System ab. Durch simples Entfernen des Häkchens können Sie jedenfalls - sofern der Trojaner dies nicht unterbindet - den Start beim nächsten Einschalten verhindern. Auf der anderen Seite: Vertrauenswürdige Programme, die sich hier befinden, sind für den Betrieb von Windows nicht überlebenswichtig, weshalb die Gefahr eines unbrauchbaren Systems praktisch nicht gegeben ist. Ändern Sie idealer Weise trotzdem nur einen ­Eintrag vor jedem Neustart. Sollte danach eine benötigte Funktion nicht ­mehr vorhanden sein, setzen Sie das Häkchen einfach wieder.

5b

Etwas diffiziler handzuhaben sind die „Dienste“ im benachbarten Tabellenreiter, weshalb dieser Schritt nur für fortgeschrittene Anwender empfehlenswert ist. Die hier gelisteten Programme stellen essenzielle System-Funktionen zur Verfügung und sind daher mit Vorsicht zu behandeln. Zuerst sollten Sie „Alle ­Microsoft-Dienste ausblenden“ anklicken, um die Liste etwas zu lüften. Es bleiben nur mehr Einträge übrig, die nach der Windows-­Installation hinzugefügt worden sind. Das heißt, etwaige Schädlinge finden sich hier. Leider gibt es in dieser Ansicht weder echte Programm-Namen noch -Pfade zu sehen, sodass Sie im Internet nach der Bezeichnung in der Dienst-Spalte suchen müssen. Empfehlung: Sollte die Bezeichnung Leerzeichen beinhalten, dann setzen Sie sie für die Suche unter Anführungszeichen (z. B. „Adobe ­Acrobat Update Service“). So erfolgt die Recherche nach exakt der Zeichenfolge und nicht nach den einzelnen Worten und die Ergebnisse werden ungleich genauer. Im Zweifelsfall gilt jedoch: Lassen Sie die Häkchen an ihren ursprünglichen Positionen, um das ­System nicht funktionsunfähig zu machen.