Seite 5: Diagnose und Therapie

Inhaltsverzeichnis

Die Diagnose

Hat man nach all der Vorarbeit eine konkrete Datei im Verdacht, kann man diese bei Virustotal oder Jotti hochladen, um die Diagnose von rund einem Dutzend Virenscannern einzuholen. Allerdings ist auch hier ein gewisses Misstrauen angebracht: Immer wieder führen zu allgemeine Signaturen auch zu Fehlalarmen, die man erst beim Studium der Beschreibungen als solche erkennt.

Die passenden Virenbeschreibungen findet man am einfachsten, indem man die Namen der gefundenen Viren in die Suchmaschine seiner Wahl füttert. Achten Sie darauf, dass die Beschreibung auch tatsächlich zu den Symptomen auf Ihrem Rechner passt. Stimmen Details wie beispielsweise Pfade oder Dateinamen nicht, bezieht sie sich eventuell auf eine Vorgängerversion und die neue Variante wurde durch eine generische Signatur ebenfalls entdeckt. Das bedeutet aber auch, dass möglicherweise weitere Funktionen hinzugekommen sind, die weder die Beschreibung noch die Reinigungsfunktion berücksichtigen.

Apropos Internet: Ein infizierter Rechner gehört nicht mehr ans Netz – weder an ein lokales noch ans Internet. Er kann sonst als Viren- und Spamschleuder aktiv werden, sich an verteilten Angriffen auf Server beteiligen oder noch mehr Unrat aus dem Internet nachladen. Nahezu alle aktuellen Schädlinge haben eingebaute Update-Funktionen, über die sie zusätzliche Module oder auch neue Versionen nachladen. Für die Recherche sollte man folglich einen anderen Rechner nutzen oder ein sauberes System starten.

Hat eine sorgfältige Suche dann immer noch keine verwertbaren Informationen geliefert, ist das System im Normalfall sauber. Natürlich besteht ein Restrisiko, dass ein unbekanntes, hochoptimiertes Hintertürprogramm allen Erkennungsversuchen entgangen ist. Doch das ist eine ähnliche Aussage wie die, dass Ihr Telefon möglicherweise überwacht wird oder es für einen guten Agenten technisch durchaus möglich wäre, in Ihrem Schlafzimmer unbemerkt eine Überwachungskamera einzubauen, die Sie trotz intensiver Suche nicht entdecken. Trotzdem wird man ohne einen etwas konkreteren Grund nicht umziehen.

Therapie

Nach der Informationsbeschaffung kann man sich an den nächsten Schritt wagen: die Therapie. Alle Antiviren- und Antispyware-Programme bieten Reinigungsfunktionen, auf die in den Virenbeschreibungen auch gern verwiesen wird. Bevor man sich darauf einlässt, sollte man sich etwas vor Augen führen, was in den Anleitungen der Hersteller für gewöhnlich nicht steht. Die Beschreibungen und auch die Reinigungsfunktionen sind immer unter großem Zeitdruck entstanden und nicht immer vollständig. Vor allem bei neuen Viren werden sie häufig schrittweise komplettiert und oft genug kam es bereits vor, dass ein Scanner zwar den aktiven Wurm gelöscht hat, die von diesem zwischenzeitlich nachgeladene Hintertür jedoch übersah.

Überhaupt laden viele Schädlinge im Lauf der Zeit neuere Komponenten oder auch anderen Unrat nach. Viele Bot-Netz-Betreiber bieten das sogar als Dienstleistung an. Sie installieren auf den inifizierten Rechnern etwa Nerv-Programme, die die Opfer dazu bringen sollen, angebliche Vollversionen zu kaufen. Für jede heimliche Installation kassiert der Bot-Netz-Betreiber ein paar Dollar. So kommt es, dass einmal infizierte Systeme oft schon bald einen ganzen Zoo an Unrat beherbergen. Schädlingen auf der Spur dokumentiert akribisch, wie ein falscher Klick mit einem ungepatchten Internet Explorer dazu führte, dass auf einem Windows-System 20 verschiedene Dateien mit insgesamt über 3 MByte installiert wurden. Diesen Müllhaufen bekommt man weder von Hand noch mit Reinigungsprogrammen wieder wirklich sauber.

Die Radikalkur

Wer sich einen Gefallen tun will, nimmt die Infektion zum Anlass, das System mal wieder komplett neu aufzusetzen: also die Festplatte zu formatieren und Windows und die wirklich benötigten Programme neu zu installieren. Sie werden sich wundern, wie viel Platz auf der vorher schon bedenklich gefüllten Festplatte plötzlich frei ist und wie flott ihr System startet.

Viele Anwender, die vor diesem Schritt zurückschrecken und ihr System lieber reinigen wollen, übersehen die möglichen Konsequenzen dieser Vorgehensweise. Bei jeder zukünftigen Merkwürdigkeit, jedem Programmabsturz werden Sie sich fragen, ob das vielleicht doch mit dem scheinbar beseitigten Virus zusammenhängt. Und nach Murphy wird das genau dann passieren, wenn Sie es am wenigsten brauchen können.

Bevor Sie sich also zu einer Reinigung entschließen, machen Sie sich ein paar Gedanken darüber, was Sie im schlimmsten Fall zu verlieren haben, wenn diese nicht vollständig gelingt und Rückstände entweder die Systemstabilität beeinträchtigen oder sogar eine erneute Kompromittierung erlauben könnten. Sind kritische Daten in Gefahr? Kommt ihr Rechner mit anderen, eventuell kritischen Systemen in Kontakt, beispielsweise wenn Sie ihn ans Firmennetz anschließen?

In vielen Fällen erweist sich die Neuinstallation nicht nur als der sicherere Weg zu einem funktionsfähigen, sauberen System, sondern auch als der schnellere. Wichtige Daten sowie mögliche Indizien, die es erlauben, den angerichteten Schaden zu beurteilen, sollte man natürlich vorher auf ein externes Medium sichern. Wer genug Platz zur Verfügung hat, erstellt vorsichtshalber ein Komplett-Image des gesamten Systems.

Doch es gibt natürlich auch Situationen, in denen man eine Reinigung des Systems guten Gewissens in Betracht ziehen kann – beispielsweise wenn man bereit ist, ein gewisses Restrisiko in Kauf zu nehmen, weil man nicht wirklich auf den Rechner angewiesen ist, sondern ihn ohnehin nur zum Spielen nutzt.

Gute Virenbeschreibungen erhöhen die Erfolgsaussichten. Hier gilt tatsächlich im Wortsinn: Geteiltes Leid ist halbes Leid. Weit verbreitete Schädlinge werden in der Regel schnell und gut analysiert, die Reinigungsfunktionen ausgiebig getestet. Handelt es sich bei einem Wurm um Massenware, ist auch das Risiko, dass man sich einen nicht erkannten Keylogger oder eine besonders gut versteckte Hintertür eingehandelt hat, vergleichsweise gering. Manche AV-Hersteller bieten zu weit verbreiteten Schädlingen spezielle Reinigungsprogramme an, die auf deren Eigenheiten abgestimmt sind. Sie bieten die besten Chancen, einen Schädling wirklich rückstandsfrei loszuwerden.

Die Reinigungsfunktionen von Virenscannern sind danach die zweite Wahl, da sie meist nur die erkannten Dateien entfernen, zusätzliche Hinterlassenschaften wie Registryeinträge oder gar neu eingerichtete Benutzerkonten aber oft übersehen. Eine freihändige Säuberung sollte nur als allerletzter Rettungsanker zum Einsatz kommen. Denn einen eindeutigen Hinweis auf einen Bösewicht zu finden, ist eine Sache, all seine Komponenten und deren eventuelle Hinterlassenschaften im System zu lokalisieren, eine ganz andere. Gerade bei Schädlingen mit Nachladefunktion wird das sehr schnell ein schier aussichtsloses Unterfangen.

Anschließend ist es unverzichtbar, anhand der Virenbeschreibung zu kontrollieren, ob auch wirklich alles entfernt wurde. Sicherheitshalber sollte man immer noch einen Blick auf wichtige Systemeinstellungen werfen. Dazu gehören die Benutzerkonten, Dateifreigaben, die Autostarts und die Einstellungen von Browser, Mailer und Windows Firewall. Häufig anzutreffende Überreste sind Einträge in der Hosts-Datei unter \windows\system32\drivers\etc\hosts, die Zugriffe auf wichtige Systeme ins Nirvana umleiten. Auf einem frischen Windows-System ist diese Datei normalerweise leer beziehungsweise nicht vorhanden; allerdings klinken sich etwa auch legitime Programme wie Virenwächter gelegentlich dort ein.

Zum Schluss bleiben dann noch die notwendige Schadensanalyse und die Nachsorge. Auch wer sein System neu installiert, sollte nach einem Befall mit einem Keylogger unbedingt alle Passwörter ändern – auch bei Online-Diensten und Mail-Zugängen. Zertifikate beispielsweise für VPN-Zugänge sind zu widerrufen, und unter Umständen sollte man auch Bank und Kreditkartenfirma benachrichtigen, um mit dem nächsten Kontoauszug keine bösen Überraschungen zu erleben.

Danach ist ein guter Zeitpunkt, sich Gedanken darüber zu machen, wie man solchem Ungemach zukünftig aus dem Weg geht. Das wurde alles bereits mehrfach in c't beschrieben; wichtige Stichpunkte sind automatisierte Updates, regelmäßige Backups und Images, das Arbeiten ohne Admin-Rechte und vor allem: ein bewusster Umgang mit Dateien, über deren Herkunft man sich nicht ganz sicher ist. Und vielleicht kommt ja auch ein Blick auf alternative Programme und Betriebssysteme in Frage, die nicht ganz so unter Beschuss stehen wie Internet Explorer, Adobe Reader oder Microsoft Office. (ju)