Seite 4: Netzwerken

Inhaltsverzeichnis

Netzwerken

Die dritte lohnenswerte Anlaufstelle für die Detektivarbeit sind die Netzwerkaktivitäten eines Systems. Das passende Sysinternals-Tool Tcpview verschafft einen Überblick. Es zeigt existierende Netzwerkverbindungen beziehungsweise aktive, aber derzeit nicht verbundene Netzwerkendpunkte und die zugehörigen Prozesse. Besonderes Augenmerk verdienen Absonderlichkeiten wie ständig aufpoppende SMTP-Verbindungen zu wechselnden Mail-Servern, die auf Wurmaktivitäten hinweisen. Bei unbekannten Diensten im Listen-Modus lohnt es, sich mit telnet localhost versuchsweise damit zu verbinden. Antwortet das System mit einer Passwortabfrage oder gar mit einem Kommandozeilenprompt, hat man es wahrscheinlich mit einer Hintertür zu tun.

Schließlich gibt es noch eine Reihe weiterer Ecken des Betriebssystems in denen man Indizien für eine Infektion aufstöbern kann. Im Internet Explorer können sich bösartige Browser Helper Objects einnisten, die unter "Extras/Internetoptionen/Programme/Add-ons verwalten" zu finden sind. Verdächtigen Festplattenaktivitäten kann Filemon auf den Grund gehen und beispielsweise die Aktivitäten eines klassischen Virus aufdecken, der nach und nach andere Dateien infiziert. Allerdings überflutet es den Anwender mit Details, deren Auswertung eine Wissenschaft für sich darstellt. Unbekannte Ausnahmeregeln für ein Programm in der Windows Firewall können auf eine Hintertür hinweisen, die von außen erreichbar ist.

Bei sorgfältiger Suche kann man nach unseren Erfahrungen mit diesem Handwerkszeug die meisten Schadprogramme aufspüren – zumindest sofern es sich um Stangenware handelt, die nicht speziell darauf optimiert wurde, sich auf dem System zu verstecken.

Fauler Kern

Doch leider kann man sich mittlerweile selbst auf die Ausgaben von Tools wie denen von Sysinternals nicht immer verlassen. Aktuelle Schädlinge verwenden immer häufiger Rootkit-Techniken, die die Ausgabe von Systemfunktionen so manipulieren, dass sie bestimmte Dateien, Prozesse, Registry-Einträge und Netzwerkverbindungen nicht mehr anzeigen. Da sich autoruns, Process Explorer & Co. auf diese Funktionen verlassen, werden solche Schädlinge für sie unsichtbar.

Zum Glück haben die Antiviren-Programme in diesem Bereich deutlich aufgeholt. Sie können mittlerweile viele der Standard-Rootkits erkennen und teilweise auch entfernen. Darüber hinaus helfen spezielle Rootkit-Spürhunde, die über eine Art Kreuzverhör Informationen auf verschiedenen Wegen beschaffen und dabei auftretende Unstimmigkeiten aufdecken. So liest Blacklight von F-Secure rohe Dateisystemdaten und vergleicht sie mit denen des Windows-API. Diskrepanzen sind ein Hinweis auf verdächtige Aktivitäten, die Dateien verstecken. Außerdem ermittelt Blacklight auf verschiedene Arten, welche Prozesse derzeit aktiv sind. Findet es einen versteckten, bietet es an, das zugehörige Programm umzubenennen. Rootkit Revealer von Sysinternals geht ähnlich vor, um verborgene Dateien und Registry-Einträge aufzuspüren.

Allerdings können auch normale Systemfunktionen verdächtige Unterschiede hervorrufen, wenn sie beispielsweise eine Datei während des Scan-Vorgangs ändern, löschen oder neu anlegen. Des Weiteren gibt es bereits speziell optimierte Rootkits, die die Spürhunde erkennen und dadurch austricksen, dass sie ihnen die ungefilterten Informationen liefern. Weitere Tools wie der Rootkit Hook Analyzer liefern oft nur spärlich kommentierte Systemtabellen, deren Interpretation dem Anwender weitgehend selbst überlassen bleibt. Außerdem haben die meisten Anti-Rootkit-Tools Probleme auf 64-Bit-Systemen.

Grundsätzlich gilt, dass man als Detektiv auf einem Rootkit-verseuchten Windows schlechte Karten hat und zur Analyse besser ein garantiert sauberes System wie Desinfect oder ein Bart-PE booten sollte. Die konkrete Gefahr durch Rootkits wird allerdings derzeit oft überbewertet. Die existierenden Rootkit-Funktionen von echten Trojanern sind in der Regel von öffentlich zugänglichen Rootkits wie FU oder Hacker Defender abgekupfert, deren Arbeitsweise gut bekannt ist und Rootkit Revealer oder Blacklight nicht täuschen kann. Damit das Duo Blacklight und Rootkit Revealer in Kombination mit dem Trio auf der Desinfect-CD ein Tarnkappen-Programm nicht aufspürt, muss es sich schon um eine sehr kreative Neuentwicklung oder ein speziell optimiertes Exemplar handeln.