Malware-Grundlagen – Teil 2

Seek and Destroy

26.01.2007 | Redakteur: Peter Schmitz

Dieser Beitrag widmet sich der Bereinigung eines infizierten Rechners, denn das ist bei den verschiedenen Malware-Arten nicht immer in einem Schritt getan. Im ersten Teil dieser Serie wurde beschrieben, wie das System geschützt werden kann, der dritte Artikel beleuchtet die einzelnen Malware-Kategorien genauer.

Sicherstes Zeichen für einen Malware-Befall ist natürlich ein entsprechender Hinweis des Virenscanners. Es deuten aber auch bestimmte „Symptome“ auf das Vorhandensein von Malware auf dem eigenen Computer hin.

Während beim einen Anwender das Betriebssystem instabil oder der Rechner langsam wird, vermissen andere Nutzer plötzlich Dateien. Hierfür sind meist Würmer und Viren verantwortlich.

Vielleicht meldet die Desktop-Firewall auch unbekannte ausgehende Verbindungen oder es existieren ausgehende SMTP-Verbindungen, ohne dass der User eine E-Mail verschickt. In diesem Fall treibt vielleicht ein Trojaner sein Unwesen, der eine Backdoor (Hintertür) zum System geöffnet hat.

Wenn sich die Standardseite des Webbrowsers permanent verstellt oder Werbeseiten aufpoppen, könnte es sich hingegen um einen Effekt von Spyware handeln.

Registry-Bäume durchforsten

Besteht der Verdacht, das System könnte infiziert sein, kann der Betroffene an einigen Ecken von Windows etwas tiefer graben. Ein guter Anfang ist das Programm msconfig, es kann über die Startmenü-Funktion „Ausführen“ mit dem Befehl „msconfig“ aufgerufen werden.

Das Tool zeigt einige Stellen, an denen sich Malware zum automatischen Start einnisten kann. Besonders interessant sind die Infos unter „Dienste“ und „Systemstart“. Letzteres zeigt Einträge in den typischen „Run“-Schlüsseln der Registry. Man kann dort auch direkt nachsehen:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command

Unter diesen Registry-Schlüsseln sollte kein Eintrag zu finden sein, der nicht zum System gehört. Ist man bei der Zurodnung unsicher, einfach den Dateinamen am Ende vom Wert des unbekannten Eintrages in eine Internet-Suchmaschine eintippen. Recht schnell findet man so raus, was sich hinter dem Programm verbirgt.

Seite 2: Würmer und Trojaner sind geduldig

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002027 / Antivirus)