Über den Sinn und Unsinn von Malware-Säuberung

In der IT-Security Welt wird immer wieder heftig über die Sinnhaftigkeit der Säuberung von infizierten Computern diskutiert. Dabei rücken Fragen wie “Kann ich einem infizierten Computer jemals wieder vertrauen?” oder “Ist eine vollständige Säuberung technisch überhaupt möglich?” in den Vordergrund.

Wie funktionieren Malware Infektionen?

Um diese Frage beantworten zu können, müssen unterschiedliche Malware-Typen einzeln analysiert werden:

  • Viren

    Noch vor nicht allzu langer Zeit war der Großteil aller bekannten Schadprogramme viral. Viren haben die Eigenschaft, dass Sie andere Wirt-Anwendungen benötigen, um lauffähig zu sein. Ein Virus hängt sich immer an ein gutartiges Programm, indem er seinen Viren-Programmcode in die ausführbare Datei (zb. .EXE) einbaut. Sobald das gutartige Programm geladen wird, kann der Virus mit seinen schadhaften Routinen beginnen und sich über andere Programme weiter reproduzieren. Heute spielen Viren nur mehr eine kleine, unwesentliche Rolle am Malware-Sektor.

  • Trojaner, Backdoors, Bots, Würmer

    Mit Abstand die meisten neuen Schadprogramme sind heute Trojaner und Bots. Sie benötigen keine Wirte um lauffähig zu sein, da sie selbst eigenständige Programme sind. Bots versuchen, möglichst unauffällig zu sein und verstecken sich zumeist gut getarnt in den Tiefen des Betriebssystems. Zu ihren Aufgabenbereichen zählen das Öffnen des PCs für Angreifer die fortan die volle Kontrolle über den PC haben, der Massen-Versand von illegalen Spam-Emails oder das koordinierte Überlasten von einzelnen Webseiten durch zu viele manipulierte Anfragen (DoS). Der PC kann erst dann als infiziert betrachtet werden, wenn eine derartige Schadsoftware aktiv ist. Ungestartete Dateien stellen keine Gefahr dar. Trojaner und Bots verfügen jedoch über eine Vielzahl an Funktionen, die sicherstellen, dass sie bei jedem Boot Vorgang automatisch mit gestartet werden. Es werden an den verschiedensten Stellen Autostart Einträge in der Systemregistrierung angelegt, Zuordnungen von Daten-Dateiendungen umgeleitet oder andere neue Tricks angewandt, die gängigen Sicherheitstools möglichst noch nicht bekannt sind.

  • Spyware, Adware, falsche Sicherheitssoftware

    Ein neuer Trend bei Malware ist es, wichtige Systemkomponenten so zu manipulieren, dass die Malware Dateien nicht mehr einfach so gelöscht werden können. So manche Spyware startet mehrere parallel aktive Prozesse (Programminstanzen), die sich gegenseitig überwachen. Sobald ein Prozess beendet wird, startet ihn der andere sofort wieder neu, etc. Falsche Sicherheitssoftware, sog. Rogue Antiviren- und Antispyware Tools injizieren sich in essentielle Systemprozesse wie z.B. in die winlogon.exe. Versucht man, die Malware loszuwerden, indem man den Wirts-Prozess beendet um anschließend die schädliche Datei zu löschen, endet die Aktion mit einem gefürchteten Bluescreen und das System steht still.

  • Rootkits

    Noch einen Schritt weiter gehen Rootkits. Sie manipulieren das Betriebssystem dahingehend, dass die Rootkit-Dateien einfach gar nicht mehr angezeigt werden und somit von Antiviren-Programmen nicht mehr gefunden werden können. Ebenso lassen sich Registry-Einträge, offene Ports und aktive Prozesse unsichtbar machen damit keine Spur mehr auf das Vorhandensein eines Rootkits hindeutet.

Die beschriebenen Infektionstypen repräsentieren die gängisten Malware-Teilbereiche. Darüber hinaus gibt es natürlich verschiedenste Kombinationen.

Ist eine Bereinigung immer möglich und sinnvoll?

Einfach gestrickte Malware läßt sich meist mit relativ hoher Sicherheit restlos vom System entfernen. Bei komplexeren Typen tauchen jedoch verschiedene Probleme auf:

  • Viren-Desinfektion

    Da sich Viren an andere Programme anhängen, muß zur Säuberung lediglich der angehängte Teil wieder entfernt werden. Klingt relativ simpel, hat aber seine Tücken. Wenn ein Virus sich nicht nur anhängt, sondern die originale Programmdatei auch noch anderweitig manipuliert, wie z.B. durch Komprimierung oder Verschlüsselung, ist eine Desinfektion kaum möglich. Durch die evolutionäre Weiterentwicklung von Viren sind Antivirenhersteller bereits vor Jahren dazu übergegangen, infizierte Dateien komplett zu löschen oder unter Quarantäne zu stellen. Damit wird auch verhindert, dass eine mißlungene Desinfektion eine Programmdatei zerstört. Viren-Desinfektion ist außerdem technisch sehr aufwendig und wird daher üblicherweise maximal für die meistverbreiteten Viren bereitgestellt.

  • Säuberung bei Trojaner-Befall

    Um den PC von Trojanern oder Bots zu befreien, reicht es in der Regel, die aktiven schädlichen Prozesse abzuschießen und anschließend die ausführbaren Trojaner-Dateien zu löschen. So gut wie alle Antiviren- und Antimalware-Scanner gehen so vor. Manche durchsuchen das System anschließend noch nach Autostart-Einträgen oder Zusatzmodulen der Malware, um diese auch noch zu vernichten (wenngleich diese allein keine Gefahr mehr darstellen).

  • Spyware und Adware entfernen

    Der Begriff Spyware umfaßt mittlerweile ein relativ großes Spektrum von Programmen. Manche gelten als unerwünschte Software, weil sie Daten sammeln und die Privatsphäre stören. Ansonsten unternehmen diese Programme aber keine Anstrengungen, sich gegen eine Löschung zu wehren. Im Idealfall kann man sie daher über die Systemsteuerung/Programme mit der eigenen Uninstall-Funktion einfach deinstallieren. Anders sieht es jedoch bei Adware oder falschen Antiviren-Programmen aus. Diese versuchen mit aller Gewalt, den Benutzer dazu zu drängen, Geld auszugeben. Der Kreativität der Programmierer sind dabei kaum Grenzen gesetzt. Oftmals der einzige Weg, diese Programme loszuwerden ist, mit Spezialwerkzeugen deren ausführbare Dateien noch vor dem eigentlichen Boot-Vorgang zu löschen. Die wenigsten Sicherheitsprogramme sind derzeit in der Lage, solchen Infektionen vernünftig beizukommen.

  • Königsklasse Rootkits entfernen

    Rootkits verfügen über nahezu perfekte Tarneigenschaften. Um sie entfernen zu können, muß man daher erst einmal wissen, dass überhaupt ein Rootkit vorhanden ist. Und hier sind wir auch schon beim Hauptproblem dieser Thematik angelangt: Sämtliche Rootkit Scanner Technologien können nie mit Garantie sagen, ob ein eventuell aktives Rootkit nicht auch den Scanner selbst getäuscht und so seine Existenz verschleiert hat. Auch hier gibt es das typische Katz- und Maus-Spiel: Hacker findet neue Wege, sich zu verstecken – Antirootkit-Hersteller erkennt diese und erweitert die Erkennung, bis der Hacker wieder neue Wege findet…

Ist der PC einmal infiziert – Neu Aufsetzen!

Je komplexer Malware ist, desto schwieriger wird die Säuberung. Das eigentliche Problem ist, dass man nie davon ausgehen kann, dass eine Säuberung vollständig gelingt. In vielen Fällen dienen Säuberungsfunktionen von Sicherheitsprodukten als Placebos, die über die eigentliche Tatsache hinwegtäuschen: Der logischen Schlußfolgerung, dass der PC nicht mehr länger vertrauenswürdig ist, sobald er einmal von Malware infiziert wurde.

Warum?

  • Es könnte sich auch nach einer Säuberung immer noch ein verstecktes Rookit auf dem PC befinden, das noch von keiner Anti-Rootkit Technologie erkannt wird.
  • Viel größer noch ist die Wahrscheinlichkeit, dass durch eine Infektion wichtige Betriebssystem-Komponenten manipuliert wurden. So könnten zum Beispiel Freigaben aktiviert worden sein, die den PC für Angreifer öffnen, oder Programme dahingehend manipuliert worden sein, dass sie Schadroutinen in erstellten Dateien einbetten.

Der EINZIGE Weg, den PC wieder brauchbar zu machen ist daher, die Festplatte zu formatieren und das Betriebssystem neu aufzusetzen!

Besser: Infektionen vermeiden

Vertrauen Sie nie auf die Säuberung alleine. Den PC im Vorhinein gegen Malware-Infektionen zu schützen ist immer besser als im Nachhinein das angerichtete Chaos zu beseitigen. Wichtig ist daher ein mehrschichtiges Schutz-System bestehende aus:

  • Software aktuell haltenEin beachtlicher Teil aller Schadprogramme kommt über Sicherheitslücken auf den PC. Halten Sie Ihr Betriebssystem stets aktuell. Das automatische Windows-Update sollte immer aktiviert sein da oft nur wenige Tage zwischen Bekanntwerden einer Lücke und der ersten massenweisen Ausnützung dieser durch Würmer vergehen. Ebenso ist es notwendig, alle Programme die mit Daten aus dem Internet hantieren, aktuell zu halten. Dazu zählen Browser, PDF Reader, MP3 Player, Bildbetrachter, etc. da diese Dateien verarbeiten, die schädlichen Code enthalten können.
  • Surf-SchutzVerhindern Sie, dass Sie auf dubiose Webseiten gelangen, wo Sie sich Malware einfangen können. Dies kann durch die Verwendung von Host-Blockern oder Firewalls mit entsprechenden Funktionen einfach realisiert werden.
  • Erste große Hürde: SignaturenscanSollten Sie dennoch einmal eine gefährliche Datei herunterladen und starten, wird sie mit einer Wahrscheinlichkeit von über 99% von einem signaturbasierten Malware-Wächter erkannt und am Start gehindert.
  • Zweite große Hürde: VerhaltensanalyseNeue Malware und solche, die für Einzelangriffe ausgelegt ist, können nur von verhaltensbasierten Malware-Blockern erkannt und am Start gehindert werden.

Emsisoft Anti-Malware
kann zwar nicht dafür sorgen, dass Ihr Betriebssystem und Ihre Programme aktuell gehalten bleiben, alle anderen aufgezeigten Schutzkomponenten sind jedoch enthalten.