B. Brandel
Beim Umgang mit Viren und anderer Malware werden aus Unkenntnis über die genauen Sachverhalte immer wieder verhängnisvolle Fehler gemacht. Dieser Artikel will Sie darüber aufklären und Ihnen helfen, sich in Zukunft besser zu wappnen und im Schadensfall richtig zu verhalten. Für die praktische Anwendung sind zahlreiche Links zu Hintergrundinformationen und Software-Bezugsquellen beigefügt.
Motivation
Mit dem Thema "Malware-Schutz" wird man als Computer-Nutzer so oft konfrontiert, dass die Versuchung groß ist, das Thema nicht mehr ernst zu nehmen. Vielleicht gerade deshalb schätzt man die wirkliche Situation falsch ein und denkt, sowieso alles im Griff zu haben mit der Gefahr, im Ernstfall das Falsche zu tun.
Im Folgenden möchte ich Sie auf die wichtigsten Irrtümer hinweisen und Ihnen zeigen, wie Sie hartnäckige Malware loswerden können.
Was ist Malware?
Laut Wikipedia ist Malware [1] ein Kofferwort, gebildet aus den beiden englischen Begriffen "malicious" (boshaft) und "Software". Als Malware bezeichnet man Computerprogramme, welche - vor dem Benutzer verborgen - unerwünschte (schädliche) Funktionen ausführen.
Mögliche Schadfunktionen sind zum Beispiel Dateimanipulationen oder -löschungen, aber auch die technische Kompromittierung der Sicherheitssoftware (wie z. B. Firewalls und Antivirenprogramme) eines Computers. Es ist bei Malware auch nicht unüblich, dass eine ordnungsgemäße Deinstallation mit den generell gebräuchlichen Mitteln fehlschlägt, so dass zumindest Software-Fragmente im System verbleiben. Diese können möglicherweise auch nach der Deinstallation weiterhin Schaden anrichten.
Die wichtigsten Malware-Typen sind: Computerviren, Computerwürmer, Trojanische Pferde, Spyware (Software zum Ausspionieren Ihres Rechners) und Backdoors (Hintertüren zum späteren Eindringen).
Dialer werden nicht immer als Malware angesehen. Statt die Opfer vor den Tätern zu schützen, spricht man in diesem Zusammenhang gerne euphemistisch von Einwahlprogrammen auf Mehrwertrufnummern . Ebenso strittig ist, ob Adware (Software mit lästigen Werbeeinblendungen) [2] automatisch als Spyware und damit auch als Malware gilt.
Wie man sieht, umfasst Malware weit mehr als Computerviren. Ob Software Malware ist oder nicht, wird leider sehr subjektiv gesehen: Insbesondere bei Dialern und Adware ist man sich uneins, ob sie Malware sind oder nicht. Wie schützen Sie sich aber gegen Schädlinge, die Ihre Schutzsoftware vielleicht gar nicht als schädlich ansieht? Eines ist klar: Die nicht ausrottbare Überzeugung, dass man nach einem Malwarebefall schnell mal eben eine Antivirus-Software auf den infizierten Rechner installiert, die dann alles Böse auf dem Computer als böse klassifiziert und danach restlos entfernt, ist somit mehrfach falsch.
In den folgenden Abschnitten wir dargestellt, welche präventiven Maßnahmen Sie treffen können, wie ein sinnvoller Grundschutz gegen Malware aussieht und was Sie im Verdachts- und Schadensfall tun können. Bitte beachten Sie die zahlreichen Links auf weiterführende Seiten im WWW, die Sie bequem per Mausklick in der Online-Ausgabe des Artikels erreichen können.
Präventive Maßnahmen
Der beste Schutz vor Malware-Schäden ist eine durchdachte Prävention:
Prävention heißt zuallererst: regelmäßige Datensicherungen
Auch der vorsichtigste PC-Anwender kann sich Malware einfangen, die im schlimmsten Fall all seine Daten zerstört oder eine Neuinstallation erfordert. Sichern Sie daher regelmäßig Ihre Daten - dann ist der GAU kein GAU mehr!
Vorsicht beim Öffnen von E-Mail-Attachments und beim Ausführen von Dateien
Vorsicht allein schützt zwar nicht gegen alle Schädlinge. Würmer wie Blaster und Sasser (siehe INKUERZE 2/2003 [3] und 1/2004 [4]) konnten sich ohne aktives Zutun des Nutzers über Windows-Sicherheitslücken automatisch übers Netz auf ungepatchte Windows-PCs weiterverbreiten. Ohne gesunde Vorsicht sind aber alle Sicherheitsmaßnahmen umsonst!
Entscheiden Sie sich für eine geeignete Antivirus-Software und wägen Sie dabei alle Vor- und Nachteile gründlich ab!
Denn nicht jede Antivirus-Software (AV-Software) ist gleich gut. Dies gilt für die Handhabung, den Ressourcen-Verbrauch,
die Viren-Erkennungsrate, die Spyware-Erkennung, die Qualität des Supports im Verdachtsfall,
die Flexibilität beim Update und auch für den Preis der Produkte. Hierzu ein paar Erfahrungen,
die ich gemacht habe:
Einzelne Dateien lassen sich mit Sophos AV nur sehr umständlich auf Viren prüfen, indem man den OnAccess-Scanner
speziell mit dieser einzelnen Datei konfiguriert. Bei Kaspersky AV dagegen können verdächtige Dateien bequem
per Rechtsklick auf Viren untersucht werden.
Sie können verdächtige Dateien zur Analyse an Ihren AV-Hersteller senden. Bei Sophos AV geschieht das
per Hand als Mail-Anhang an den Sophos Support. Nun blockiert aber
das Mailgateway der KU sinnvollerweise den Versand ausführbarer Dateien mit der Meldung
"Banned Part", so dass Sie den Dateianhang erst noch umbenennen und erneut versenden müssen.
Kaspersky AV löst auch diese Situationen intelligenter:
Trauen Sie einer Datei nicht, wählen Sie im Menü den Punkt "Datei zur Analyse einschicken". Davor wird
sie offenbar verschlüsselt, so dass sie als Mail-Anhang problemlos übers Mailgateway versandt werden kann.
Bei Kaspersky dauert eine technisch fundierte Antwort nach meiner persönlichen Erfahrung i.d.R. wenige Stunden,
von Sophos erhielt ich trotz Nachhakens erst nach mehreren Tagen lediglich eine oberflächliche Antwort.
Im Gegensatz zu Kaspersky AV und fast allen anderen Antiviren-Programmen sind auf Ihrem Notebook
bei Sophos AV automatische Updates nicht einmal mit VPN-Client reibungslos möglich, da dieser erst nach dem
Update-Prozess startet, welcher dadurch erst einmal fehlschlägt.
Das einzige Argument für die Verwendung von Sophos AV am heimischen PC ist m.E. der Preis:
Sophos AV ist für Universitätsangehörige umsonst, Kaspersky kostet pro Jahr ca. 15 Euro.
Halten Sie Ihr Wissen immer auf dem neuesten Stand!
Lesen Sie Fachzeitschriften wie
c't [5],
CHIP [6] und Hakin9 [7].
Besuchen Sie die Security-Kurse des URZ, in denen
wir Ihnen auch am eigenen Notebook praktisch zeigen, wie Sie selbiges
gegen die Gefahren des Intra- und Internet absichern können.
Einen Teil der dort besprochenen Kurs-Themen finden Sie auf unserem Ingolstädter
Novellserver unter
I:\kurse\Internet-Security\pc-sicherheit.pdf.
Grundschutz Ihres Systems
Automatische Betriebssystem-Updates (Windows [4], Linux) sind absolute Pflicht.
Würmer nutzen meist als automatisierte Hacker-Angriffe die Sicherheitslücken in Betriebssystem- oder Anwendungs-Software aus. Aber vom "Proof of Concept" über das manuelle Ausnutzen der Schwachstelle bis zur Serienreife (automatisierte Verbreitung über das Internet als Wurm mit wírkungsvoller Schadensfunktion) ist der Weg auch für Malware-Autoren lang und steinig. Betriebssystem-Patches existieren daher meist schon mehrere Wochen vor dem Virus. Sie helfen gegen manche neuartige Malware, die die AV-Software durchlassen würde.
Nutzen Sie den Microsoft Baseline Security Analyzer (MBSA [8])
Damit sollten Sie ergänzend Ihr System auf weitere Windows- und Office-Sicherheitslücken überprüfen.
Automatische Viren-Updates sind ebenfalls Pflicht.
Dadurch wird die Zahl der unerkannten Viren stark reduziert, aber leider nicht auf Null. Denn Antivirus-Programme haben leider eine grundsätzliche Schwäche: Der Virus existiert immer vor dem Schutz. So werden nagelneue Viren von Ihrer AV-Software trotz verbesserter heuristischer Methoden oft nicht erkannt, da je nach Hersteller und Virus zwischen Auftauchen des Schädlings und seines Gegenmittels mehrere Tage liegen können. Da sich vor allem Würmer immer rasanter ausbreiten, schlüpfen diese immer häufiger durchs AV-Sicherheitnetz, auch bei automatischer Aktualisierung des Virenwächters. In Kombination mit den oben beschriebenen automatischen Betriebssystem-Updates bietet die automatische Aktualisierung Ihrer AV-Software aber einen effektiven Schutz vor Viren.
Deaktivieren Sie die automatische Desinfektion Ihrer Mailboxen:
Viele Mail-Clients speichern aus Performanzgründen den gesamten Posteingang in einer einzigen Datei ab. Wenn nun eine einzige E-Mail im Posteingang Malware enthält, löscht u.U. die AV-Software Ihren gesamten Posteingang! (Beispiel: Mozilla Thunderbird [9]) Speichern Sie im Zweifelsfall statt dessen verdächtige Anhänge auf der Festplatte ab. Ihr Virenwächter schlägt dann ebenfalls rechtzeitig Alarm, löscht das abgespeicherte Attachment und Ihr Posteingang bleibt heil.
AV-Software kann, will und muss manchmal irren - oder ist Adware doch Malware?
Ob beispielsweise die Fernsteuerungs-Software oder der Dialer auf Ihrem PC ein
(von Ihnen!) gewolltes "Feature" oder ein Fluch (Malware) ist, ist Ansichtssache. Manche
AV-Software ist in diesem Punkt sehr tolerant: Da Sie ja Ihr System selbst administrieren, will man Sie
schließlich nicht bevormunden. Es wäre ja extrem unhöflich, Ihnen Ihre schöne Zusatz-Software
wegzunehmen, oder? Außerdem haben Sie bei der Adware-Installation deren Lizenzbedingungen sicher
akzeptiert, die im Kleingedruckten durchaus den Hinweis auf einen Keylogger, Dialer o.ä. enthielten.
Darüber darf sich auch die AV-Software rechtlich nicht ohne weiteres hinwegsetzen. Bei AV-Herstellern wie
Kaspersky müssen Sie daher aus rechtlichen Gründen den Schutz vor Adware & Co. selbst im Konfigurationsmenü
aktivieren. Tun Sie das! Sophos erkennt momentan relativ wenig Spyware, da es sie als
"possibly unwanted software" einstuft. Angeblich soll es in der kommenden Version besser werden.
Warten wir es ab ...
Da Sie Ihrer AV-Software bezüglich Spyware-Erkennung nicht unbedingt trauen können, empfiehlt
sich dringend ein ergänzender Schutz gegen Spyware, beispielsweise durch
Spybot Search & Destroy [10],
am besten mit residentem Wächter und automatischen Updates und regelmäßigen Systemchecks.
Eine Personal Firewall ist keine Wunderwaffe, sie ergänzt lediglich den Malwareschutz.
Die einzige Firewall, die Sie komplett vor Netzbedrohungen schützt, ist ein durchgetrenntes Netzkabel
("Berliner Mauer"). Denn jede Personal Firewall lässt Verbindungen auf Port 80 (also ins WWW) zu.
Wenn Sie sich also mit administrativen Rechten über den WWW-Browser Malware herunterladen und auf Ihrem
Rechner installieren, kann dies die Firewall deshalb i.d.R. nicht verhindern. Sie meldet vielleicht später zusätzlichen Netzverkehr, der von der
Schadsoftware aufgebaut wird, aber auch nur dann, wenn die Malware Ihre Firewalleinstellungen
nicht schon längst funktionsunfähig gemacht hat.
Nur ein sorgfältiger Umgang mit dem Werkzeug sorgt auch für entsprechenden Schutz. Wer bedenkenlos alle Dialoge
bestätigt, kann auch gleich ohne Firewallschutz surfen. Zusätzlicher Schutz durch Antivirus-
und Antispyware-Produkte ist daher unabdingbar.
Brauchbare Personal Firewalls sind z.B. Sygate [11],
Outpost Firewall [12]
und Zone Alarm [13].
Beachten Sie unbedingt die genauen Lizenzbestimmungen,
einige Personal Firewalls sind zwar für Privatanwender
kostenlos, aber meist nicht für den Dienstgebrauch!
Was tun im Verdachtsfall?
Vertrauen Sie im Verdachtsfall nicht einem einzelnen AV-Programm.
Speichern Sie verdächtige E-Mail-Attachments oder andere verdächtige Dateien auf Ihrem PC ab -
selbstverständlich ohne sie auszuführen! Öffnen Sie nun in Ihrem WWW-Browser
einen der folgenden URLs: [14] oder [15].
Dorthin können Sie die Datei hochladen und von 25 bzw. 14 AV-Engines überprüfen
lassen. Die Ergebnisse erscheinen anschließend im Browser.
Wenn keines der AV-Programme Ihre Datei als virös erkennt, ist die Chance hoch, dass das tatsächlich so ist.
Umgekehrt kann das Löschen von irrtümlich als virenverseucht eingestuften Dateien ("False Positives")
ebenfalls Ihr System instabil machen. Sichern Sie sie daher vor dem Löschen auf einen externen Datenträger.
Verdächtige Dateien können Sie außerdem auch an Ihren AV-Software-Hersteller zur Analyse senden (s.o.).
Eine weitere Prüfmöglichkeit, vor allem für Spyware, ist HijackThis.
Dieses Tool können Sie von [16] herunterladen, installieren und ausführen. Den (ziemlich kryptischen) Output kann man dann seit kurzem komfortabel zur Website hochladen und dort prüfen lassen. Die Prüfergebnisse werden dann recht gut interpretierbar dargestellt, zumindest ein fortgeschrittener Computernutzer kommt damit ganz gut klar. Die Gefahr von False Positives besteht aber auch hier. Im Zweifelsfall helfen wir vom URZ gerne weiter.
Besonders üble Malware können Sie mit Anti-Rootkit-Programmen aufspüren.
Eine gute vergleichende Übersicht finden Sie unter [17]. Eine ausführliche deutsche Einführung zum momentan mächtigsten, aber auch kompliziertesten dieser Tools IceSword finden Sie dort ebenfalls. IceSword können Sie sich unter [18] herunterladen.
Vor der Säuberung müssen Sie die automatische Systemwiederherstellung deaktivieren und alle wichtige Daten sichern!
Wenn klar ist, dass Sie Schädlinge an Bord haben, schalten Sie unbedingt vor der Säuberung die bei den neuesten Windows-Betriebssystemen ab Windows XP vorhandene Systemwiederherstellung aus [19], da sonst die Gefahr besteht, dass der Virus nach einem Neustart des Computers von Windows wiederhergestellt wird.
Das automatische Säubern im laufenden Betrieb geht meist schief - auch im abgesicherten Modus!
Trotz früherer gegenteiliger Aussagen seitens des Bundesamts für Sicherheit in der Inforrmationstechnik (BSI) lassen sich selbst im abgesicherten Modus unter Windows nicht alle Malware-Programme entfernen. In dieser Betriebsart lädt Windows nur wenige Treiber, womit die Chance steigt, dass nur saubere Treiber in den Hauptspeicher gelangen und damit die Säuberung ohne Störmanöver der Malware erfolgen kann. Dennoch ist nach meiner Erfahrung eine automatische Desinfektion nach Standardschema (Download der neuesten AV-Signaturen von einem sauberen PC aus auf USB-Stick, dann Start des befallenen Rechners im abgesicherten Modus, dann AV-Update vom Stick und AV-Check) meist nicht möglich, da die Malware sich oft so tief ins System eingenistet hat, dass sie die AV-Software ständig blockiert oder deaktiviert.
Was tun, wenn der Verdacht sich bestätigt hat?
Zur Malware-Entfernung bleiben daher nur folgende Möglichkeiten:
Säuberung mit Hilfe eines integren Live-Systems (Knoppicillin, Bart PE)
Sicherer ist es, wenn Sie die befallene Festplatte von einem sauberen Live-System aus prüfen, entweder mit Knoppicillin, dem Notfall-Linux-System mit verschiedenen eingebauten Virenscannern (siehe c't, Heft 21/2006: [22]) oder Sie erstellen sich mit Bart PE [23] ein Windows-Live-System mit diversen AV-Scannern. Vom sauberen System aus können Sie nun ohne Gefahr, dass ein Virus beim Säubern stören kann, die infizierte, aber passive Festplatte mit den AV-Scannern des Live-Systems auf Malwarebefall prüfen und die Schadsoftware von der Platte entfernen lassen. Nachteilig ist natürlich, dass das Live-System langsamer läuft als ein normaler Rechner (Laden von CD/DVD statt von Festplatte) und einen großen Teil des Hauptspeichers für virtuelle Laufwerke benötigt. Daher dauern Scans dieser Art recht lange, Abstürze sind vor allem bei Rechnern mit wenig Hauptspeicher ebenfalls möglich.
Anschließende Spyware-Desinfektion
Nach der Virendesinfektion sollten Sie noch mit Antispyware-Software wie Spybot Search & Destroy (am besten ebenfalls vom Live-System aus, sonst vom teilgesäuberten System) etwaige Spyware ebenfalls löschen. Danach starten Sie wieder das hoffentlich gesäuberte System und prüfen es nochmals auf Viren und auf Spyware. Falls nun immer noch Spuren von Schadsoftware vorhanden sind (z. B. laut Meldungen von Spybot Search & Destroy), notieren Sie die verdächtigen Dateien auf und löschen sie anschließend mit Hilfe des Live-Systems. Eine nochmalige Prüfung des gesäuberten Systems mit HijackThis (s. o.) oder IceSword im laufenden Betrieb schadet ebenfalls nicht. Wenn Sie Glück haben, muss auch die Registry nicht mehr manuell nachbearbeitet werden.
Neuinstallation: Der letzte, aber einzig sichere Weg
Aus eigener Erfahrung kann ich nur bestätigen, dass diese forensischen Arbeiten sehr viel Zeit fressen und leider auch nicht immer von Erfolg gekrönt sind. Bei den ersten beiden Ansätzen ist durchaus noch das Risiko vorhanden, dass Sie zwar die Schadsoftware entfernt haben, aber eine etwaige vom Virus aus dem Internet nachinstallierte "Nutzlast" wie z.B. eine Backdoor ins Internet übersehen zu haben. Daher sollten Sie sich generell fragen, ob nicht eine Neuinstallation mit Ihren bereits dank Ihrer Präventivmaßnahmen gesicherten Daten unaufwändiger und vor allem sicherer ist. Sie schlafen dann garantiert ruhiger! Sonst werden Sie sich auch nach jedem Muckser Ihres Rechners voller Unbehagen fragen: War das Malware oder war es doch bloß Windows?
Literatur:
[1] http://de.wikipedia.org/wiki/Malware
[2] http://de.wikipedia.org/wiki/Adware
[3] http://www1.ku-eichstaett.de/urz/inkuerze/2_03/viren.html
[4] http://www1.ku-eichstaett.de/urz/inkuerze/1_04/sicher.html
[8] http://www.microsoft.com/technet/security/tools/mbsahome.mspx
[9] http://www.thunderbird-mail.de/hilfe/dokumentation1.5/problem_antivirus.php
[10] http://www.safer-networking.org/de/index.html
[11] http://www.chip.de/downloads/c1_downloads_13002710.html
[12] http://www.chip.de/downloads/c1_downloads_13003329.html
[13] http://www.chip.de/downloads/c1_downloads_12999416.html
[14] http://www.virustotal.com
[15] http://virusscan.jotti.org/
[18] http://www.heise.de/security/tools/default.shtml?prg=80
[19] http://www.bsi.bund.de/av/texte/wiederher.htm
[20] http://www.rz.rwth-aachen.de/kommunikation/betrieb/dialup/vireninfo/virenentfernen.php
[21] http://www.heise.de/security/artikel/80369
[22] http://www.heise.de/ct/06/21/168/
[23] http://www.heise.de/ct/ftp/result.xhtml?url=/ct/ftp/projekte/pebuilder/default.shtml&words=Bart
| Ansprechpartner im URZ: | Zimmer: | Telefon: | Mail: |
| Bernhard Brandel | IN: HB-204 | -1888 | bernhard.brandel |
| Heribert Zimmermann | EI: eO-003 | -1662 | heribert.zimmermann |
| Tomasz Partyka | EI: eO-107 | -1668 | tomasz.partyka |