Aktiv gegen Schädlinge
Artikel erschienen in Swiss IT Magazine 2007/03
Untersuchungen des Internet Storm Center aus dem Jahr 2004 zufolge hängt ein neuer oder frisch aufgesetzter Rechner gerade mal eine gute halbe Stunde ungepatcht am Netz, bevor er von ersten Viren, Spyware und anderem digitalen Ungeziefer befallen wird. Diese Infektionszeit dürfte sich bis heute tendentiell eher verkürzt haben. Immerhin bleibt es meist bei ein bis zwei Infektionen pro Rechner, wie Microsoft über das Malicious Software Removal Tool im Sommer 2006 herausgefunden hat: So waren von über 270 Millionen untersuchten Rechnern «nur» knapp 7 Millionen verseucht, die meisten davon mit bloss einem digitalen Übeltäter.
Allerdings ist diese Zahl mit Vorsicht zu geniessen, erkannte das Microsoft-Tool damals doch bloss 61 Malware-Familien. Andere Studien sprechen denn auch von deutlich höheren Infektionsraten. Demzufolge scheint ein Schädling weitere Artgenossen quasi anzuziehen.
Erschwerend kommt dazu, dass die Schädlinge heute immer cleverer werden und sich ausgefuchster Methoden bedienen, um sich selber nach jedem Säuberungsversuch neu zu installieren und sich so quasi unzerstörbar zu machen. Rootkits, die heute in vielen Viren, Trojanern und Spyware integriert sind, machen’s möglich.
Ist ein PC erst einmal infiziert und damit nicht selten zur Spam- und Virenschleuder mutiert, ist guter Rat für die meisten Anwender teuer. Wie wird man die Malware zuverlässig wieder los?
Gutgemeinte Ratschläge in einschlägigen Internet-Foren gibt es viele – und die meisten schlagen dasselbe vor: Neuinstallation des Systems. Das ist sicher nicht falsch und für viele, vor allem unerfahrenere Anwender der beste Weg. Schliesslich bedeutet eine frische Installation, dass der Rechner anschliessend wieder zu 100 Prozent sauber ist – bis man ihn wieder ans Netz hängt.
Auch in Unternehmen wird meist eine Neuinstallation durchgeführt, und zwar, weil sich einerseits kaum ein Administrator Zeit für die Säuberung nehmen würde und weil andererseits meist sowieso von jedem Rechner ein sauberes Image zur Verfügung steht, das schnell wieder aufgespielt werden kann und die Maschine in ihren Ursprungszustand zurücksetzt.
Für Power-User und IT-Professionals, die auf ihren Rechnern zig Programme aus unterschiedlichsten Quellen betreiben und häufig auch exotischere Hardware mit nicht ganz einfach zu beschaffenden Treibern im Einsatz haben, ist eine Neuinstallation dagegen bloss der allerletzte Ausweg – zu aufwendig und langwierig scheint dieses Verfahren.
Das Problem dabei ist allerdings, dass es in diesen Fällen keine einfache und schnelle Lösung gibt. Denn die Alternative zur Neuinstallation ist die Säuberung des Systems, und die kann – je nach Art der Malware – ebenso langwierig werden. Wichtig dabei ist insbesondere, dass man in der korrekten Reihenfolge vorgeht. Es macht beispielsweise wenig Sinn, zuerst mit einem Virenscanner allfällige Viren zu entfernen, die sich bei der nächstbesten Gelegenheit gleich wieder installieren.
Zunächst sollte man deshalb einfach die Ruhe bewahren und sich eine genaue Säuberungsstrategie zurechtlegen. Nur wenn man überlegt und zielgerichtet vorgeht, kann das Vorhaben von Erfolg gekrönt sein. Als nächstes gilt es, alle möglichen Infektionswege abzuklemmen. Dazu gehören natürlich vor allem sämtliche Netzwerk-Verbindungen (auch kabellose), aber auch externe Festplatten, USB-Sticks, PDAs und ähnliches können Schädlinge beherbergen und sollten deshalb vom Rechner getrennt werden.
Nach dieser Vorbereitung ist es Zeit, mit entsprechenden Tools eine Bestandesaufnahme zu machen und herauszufinden, mit welcher Malware der PC infiziert ist. Dabei kann es sinnvoll sein, mehrere Scan-Durchgänge mit verschiedenen Programmen durchzuführen, da nicht jede Software jeden Schädling zuverlässig erkennt. Kommt dazu, dass gerade Rootkits von klassischen Virenscannern mitunter nicht entdeckt und auch nicht entfernt werden können.
Schritte zur Systemsäuberung
Mit den Resultaten dieser Schadensaufnahme kann man nun analysieren, wie schwer der Rechner befallen ist, ob sich eine Säuberungsaktion überhaupt lohnt und wie gross die Chance ist, dass diese tatsächlich erfolgreich verläuft. Eine gute Hilfe sind dabei auch die Schädlingslisten, die die Antiviren-Hersteller führen: Diese stellen Informationen über die Malware zur Verfügung und ermöglichen so, die Schwere einer Infektion zu analysieren.
Danach ist ein Grundsatzentscheid nötig: In leichten Fällen, in denen nur einzelne, wenig aggressive Schädlinge gefunden wurden und keine Systemdateien befallen sind, stehen die Chancen gut, dass man das System mit der AV-Software und den typischen Hilfstools wie Spyware Search&Destroy säubern kann.
Sobald aber der Antiviren-Scanner kompromittiert und möglicherweise Systemdateien von der Malware verändert wurden, welche sich wiederum selber mit Rootkit-Mechanismen schützt, wird es komplex. Derartigen Schädlingen kann man nur mit hochspezialisierter Software (siehe Tabelle) und guten Systemkenntnissen Herr werden. Ob daraus tatsächlich ein sauberer Rechner resultiert, ist keineswegs garantiert.
Grundsätzlich müssen bei einem befallenen System zuerst allfällige Rootkits entfernt werden. Dies hat einen einfachen Grund: Da sich immer mehr Viren und Trojaner mit diesen Mechanismen vor einer Entdeckung schützen, können die klassischen Virenscanner erst eingreifen, wenn die Schädlinge für sie sichtbar sind. Genau dies soll mit der Entfernung der Rootkits erreicht werden.
Die in der Tabelle genannten Tools leisten dabei allesamt recht gute Arbeit. Allerdings ist die Arbeit mit ihnen nicht ganz trivial: Viele davon, beispielsweise Gmer, IceSword oder System Virginity Verifier, erfordern vom Anwender profunde Systemkenntnisse für die Interpretation der Resultate. Einige der Tools dienen ausserdem bloss zur Aufspürung von Rootkits und beinhalten keine Routinen zur Entfernung derselben. Relativ einfach in der Anwendung sind dagegen die Anti-Rootkit-Tools der klassischen AV-Hersteller wie beispielsweise F-Secures Blacklight, das gute Erkennungs- und Entfernungsraten erreicht.
Wichtig ist dabei, dass diese Tools allesamt am laufenden System ausgeführt werden müssen. Anders als bei der Virenbekämpfung, die vorzugsweise von einem sauberen Boot-Medium aus gestartet wird, können Anti-Rootkit-Tools ihre Ziele nur erkennen, wenn diese nicht aktiv sind.
Die Anti-Rootkit-Werkzeuge nutzen dabei verschiedene, teils sehr komplexe Methoden, um die versteckten Dateien, Prozesse und Registry-Einträge der Rootkits aufzuspüren. So werden beispielsweise Adressräume und Funktionsaufrufe verglichen, Prozesslisten durchforstet und die Registry durchleuchtet. Einige Tools arbeiten darüber hinaus auch mit Signaturen bekannter Rootkits.
Ist das System erst mal soweit von Rootkits und anderen Stealth-Mechanismen gesäubert, dass Viren, Trojaner, Spyware und weitere Schädlinge sichtbar sind, ist deren Entfernung durch die klassischen Antiviren- und Anti-Spyware-Tools kein grosses Problem mehr. Allerdings sollten die Scans auch hier zur Sicherheit mehrfach und mit verschiedenen Programmen wiederholt werden.
Der letzte und vielleicht wichtigste Schritt ist schliesslich derjenige, der eigentlich schon unmittelbar nach dem ersten Einsatz des Rechners hätte gemacht werden sollen, um den Malwarebefall zu vermeiden: Die Absicherung des Systems vor einer Neuinfektion.
Dazu gehört natürlich zuerst die Installation und regelmässige Aktualisierung von Virenscanner und Firewall, die heute auf jedem Rechner absolute Pflicht sein sollten. Genauso wichtig ist es, sämtliche Updates, Patches und Hot-Fixes für Betriebssystem und Anwendungen möglichst bald nach deren Erscheinen zu installieren.
Die Hersteller unternehmen hier mittlerweile einige Anstrengungen, um diesen Vorgang für die Anwender mittels Auto-Update-Funktionen möglichst einfach zu machen. Dennoch ist der Anwender in der Pflicht, das Update auch tatsächlich auszuführen.
Als weitere Schutzmassnahmen sollten User-Konten mit eingeschränkten Rechten eröffnet (und auch genutzt!) werden. Insbesondere zum Surfen im Internet oder zur Arbeit mit E-Mails – den häufigsten Einfallstoren für Malware – sind beispielsweise keine Administratorenrechte nötig. Eingeschränkte Rechte können hier helfen, künftige Infektionen zu vermeiden.
Kostenlose Anti-Rootkit-Software