Schadsoftware - Weg mit Viren, Würmern, Trojanern und Rootkits

Geschrieben von Carsten Eilers am Donnerstag, 28. Juli 2011 um 09:50

Die sicherste Methode, ein infiziertes System zu reinigen, besteht wie bereits mehrmals erwähnt darin, es zu löschen und neu aufzusetzen. In vielen Fällen ist es aber möglich, die Schadsoftware mehr oder weniger Rückstandsfrei zu entfernen. Insbesondere beim Entfernen von Viren können die Virenscanner dabei auf einen umfangreichen Erfahrungsschatz zurückgreifen.

Viren - Ursprung aller Virenscanner

Die Frage "Was war zuerst da?" lässt sich beim Huhn und dem Ei nur schwer beantworten, bei Viren und Virenscannern ist die Sachlage aber ganz eindeutig: Zuerst gab es die Viren, dann wurden die Virenscanner bzw. Anti-Viren erfunden - und dann begann der Wettlauf zwischen Viren- und Antiviren-/Virenscanner-Autoren. Und damit ist auch gleich die Lösung für jeden Virenbefall gegeben: Ein aktueller Virenscanner sollte alle bekannten Viren erkennen und meist auch beseitigen können. Wobei "Virus beseitigen" nicht zwingend auch "Infizierte Datei reparieren" bedeuten muss, manche Viren zerstören die infizierten Dateien bzw. beschädigen sie in einer Art und Weise, die eine Reparatur unmöglich macht. Außerdem wird nicht jeder Virus, der sich entfernen lässt, wirklich restlos entfernt. U.U. bleiben Reste zurück, die der Virenscanner aus technischen Gründen nicht beseitigen kann oder aus Sicherheitsgründen nicht beseitigen soll. In solchen Fällen müssen Sie sich dann entscheiden, ob Sie die Virus-Reste auf Ihrem Rechner tolerieren oder sicherheitshalber das System neu installieren.

Die Einschränkung "alle bekannten Viren" steht dort aus dem einfachen Grund, dass sich die Strategien zum Erkennen bisher unbekannter Viren von Scanner zu Scanner unterscheiden und nicht zwingend jeder neue Virus erkannt wird, erst recht natürlich nicht von allen Scannern. Nehmen wir als Beispiel einen bisher unbekannten Virus, der bei der Ausführung des infizierten Programms von der Verhaltensanalyse eines Scanners erkannt wird. Wenn der gleiche Virenscanner z.B. auf dem Mailserver läuft, kann er diesen neuen Virus nicht erkennen, da das Programm auf dem Mailserver ja nicht ausgeführt wird. Erst auf dem Desktop-Rechner wird dann die bis dahin u.U. als harmlos eingestufte Datei als infiziert erkannt.

Falls Sie auf Ihrem Rechner mit einer Virusinfektion zu kämpfen haben, müssen Sie darauf achten, alle infizierten Dateien zu bereinigen bzw. zu löschen. Das betrifft auch alle entsprechenden Dateien auf Backups, in der Cloud oder wo auch immer. Eine einzige übersehene infizierte Datei führt bei ihrem Aufruf zu einer Neuinfektion des Systems. Falls sich also ein Virus auf einer CD-R eingeschlichen hat, hilft nur eins: Die Daten sichern, den Virus daraus entfernen und die einwandfreien Daten erneut auf CD-R brennen. Die CD-R mit der infizierten Datei muss vernichtet werden, um eine erneute Infektion auszuschließen. Denn Murphys Gesetz sorgt schon dafür, dass irgend jemand irgend wann die infizierte Datei öffnen wird.

Würmer - Stoppen und Entfernen

Beim Kampf gegen Würmer müssen Sie zwei Schritte berücksichtigen: Erst muss ggf. eine als Einfallstor genutzte Schwachstelle behoben werden, dann kann der Wurm selbst entfernt werden. Das Entfernen übernehmen wie üblich Virenscanner oder von deren Herstellern bereitgestellte Spezialprogramme, fürs Beheben der Schwachstelle benötigen Sie Patches von den Entwicklern der betroffenen Software. Beseitigen Sie nur den Wurm, wird er sich in kurzer Zeit über die nicht behobene Schwachstelle erneut ins System schleichen.

Ebenso wie bei Viren müssen Sie bei Würmern darauf achten, alle Exemplare zu entfernen. Bei sich über USB-Sticks und andere mobile Massenspeicher verbreitenden Würmern sind alle entsprechenden Geräte zu prüfen, bei E-Mail-Würmern lauert die Gefahr in Backups und auf dem Mail-Server.

Im Fall eines XSS- oder JavaScript-Wurms gilt im Grunde das gleiche wie schon anfangs allgemein geschrieben: Erst die Schwachstelle beheben, dann den Wurm(code) entfernen. U.U. ist es notwendig, die betroffene Funktion oder notfalls die gesamte Webanwendung für die Dauer der Korrektur der Schwachstelle und der Entfernung des Schadcodes aus zu schalten, um eine weitere Verbreitung des Wurms zu verhindern.

Trojaner - beim Entfernen ähneln sie Viren

Sofern es um das Entfernen geht, ähneln Trojaner Viren. Ob Schadcode mit Absicht in ein Programm eingefügt wird, um daraus einen Trojaner zu machen, oder ob ein Virus seinen Schadcode in eine Programmdatei kopiert, ist fürs Entfernen egal. Der Vorteil beim Trojaner: Da er keine Verbreitungsfunktionen enthält, muss nur das trojanisierte Programm, evtl. vorhandene Kopien und ggf. nachgeladene Schadsoftware entfernt werden. Das übernehmen wieder Virenscanner bzw. spezialisierte Programme. Ein aktueller Virenscanner sollte auch alle bekannten Trojaner erkennen, bisher unbekannte verraten sich früher oder später durch ihr Verhalten.

Falls es sich um einen "Trojan Downloader" handelt, sollten Sie außerdem prüfen, wie der auf Ihr System gelangt ist. I.A. passiert das durch eine Drive-by-Infektion und damit eine nicht behobene Schwachstelle. Sind für alle installierten Programme alle verfügbaren Patches und Updates installiert? Besonders beliebt bei den Cyberkriminellen sind Schwachstellen in Adobe Reader, Flash Player und Java, achten sie also auf diese Programme besonders!

Rootkits - Die hartnäckigste Schadsoftware

Rootkits wurden entwickelt, um nicht entdeckt und möglichst nicht entfernt zu werden. Entsprechend schwierig ist ihre Erkennung und Entfernung. Die sicherste Methode, ein installiertes Rootkit zu erkennen, besteht in einem Scan "von außen". Booten Sie den Rechner mit einem garantiert schadsoftwarefreien System, z.B. einer CD, und führen Sie den Virenscan dann von dort aus durch. Beim Prüfen des laufenden Systems besteht die Gefahr, dass ein Rootkit nicht erkannt wird. Wurde ein Rootkit erkannt, kann es in vielen Fällen vom Virenscanner oder Spezialprogrammen entfernt werden. Im Zweifelsfall sollte das System aber gelöscht und neu installiert werden.

Bei einem Bootkit wie z.B. TDL sieht die Sache etwas anders aus: Das verbirgt sich im MBR und u.U. zusätzlich in versteckten Partitionen auf der Festplatte und nicht im System. Ein auf den infizierten System laufender Virenscanner kann sie dort kaum entdecken, ein Scan "von außen" ist also zwingend nötig. Diese "Auslagerung" des Schadcodes hat aber auch einen Vorteil: Die Virenscanner können den Schadcode im MBR und den versteckten Partitionen löschen, ohne das installierte System zu beeinträchtigen.

Um virtualisierende Rootkits, SMM-Rootkits und BIOS-Rootkits müssen Sie sich noch keine Gedanken machen. Es gibt sie noch nicht "in the Wild", und zumindest bei SMM- und BIOS-Rootkits ist mit ihrem Auftauchen, zumindest in Form von Massenangriffen, wohl auch nicht zu rechnen. Die Entwicklung eines Schädlings, der nur auf bestimmten Mainboards funktioniert, dürfte sich für die Cyberkriminellen wenn überhaupt, dann nur im Rahmen gezielter Angriffe rentieren.

Hiermit ist unsere Reise durch die Welt der Schadsoftware an ihrem Ende angekommen. In der nächste Folge gibt es noch einmal einen Überblick über alle erschienenen Folgen zum Thema, und dabei wird auch gleich mit dem alten Irrtum "Ich habe keine Schadsoftware auf meinem Rechner, dass würde ich doch merken" aufgeräumt.

Carsten Eilers

Antiviren-Hersteller

Die folgende, alphabetisch sortierte Liste ist weder vollständig noch stellt sie irgend eine Form der Bewertung dar. Welcher Scanner für Sie der beste ist, müssen und können Sie nur selbst entscheiden. Sofern Sie die Möglichkeit haben, probieren Sie verschiedene Scanner aus, z.B. in separaten virtuellen Maschinen.

Die meisten Hersteller bieten außer Windows-Versionen auch Scanner für Linux und/oder Mac OS X an. Nur für den Mac gibt es die Virenscanner von Intego.