Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

 
Willkommen Gast. Bitte Einloggen.
PC-Forum
Google






03.05.2025 , 08:33:42

Wehrt Euch gegen die
Vorratsdatenspeicherung

Auch ein demokratischer Staat darf nicht berechtigt sein, seine Bürger zu bespitzeln.

Wer die Freiheit aufgibt um die Sicherheit zu gewinnen, der wird am Ende beides verlieren.
(Benjamin Franklin)
Home Hilfe Suchen Einloggen


PC-ForumNetzwerkeSicherheit
(Moderatoren: Siege, louiggy, Schnoopy) - (Moderatorgruppe: PCF-Team) 		Vorheriges Thema | Nächstes Thema
Seiten: 1
Thema versenden Drucken
Malware entfernen mit a-squared HiJackFree 2.0 (Gelesen: 519 mal)
louiggy
Moderator
*****


I love Jesus

Beiträge: 1848
Geschlecht: female
Malware entfernen mit a-squared HiJackFree 2.0
10.10.2006 , 23:02:27  
Malware entfernen mit a-squared HiJackFree 2.0
 
"a-squared HiJackFree" ist ein detailliertes System Analyse Tool, das erfahrenen Anwendern dabei hilft, jegliche Arten von HiJackern, Spyware, Adware, Trojanern und Würmern zu erkennen und manuell zu beseitigen." So steht es auf der Produkt-Homepage zu lesen. Aber wie funktioniert das Ganze nun konkret? Dieses Tutorial erläutert anhand einiger Beispiele, wie ein Malware Spezialist an die Sache herangehen würde um einen Computer manuell auf Malware Befall zu untersuchen.
 
1. Grundwissen über Malware
 
Heutige Malware, wie Trojaner oder Spyware, läuft üblicherweise immer als eigenständiger Prozess. Davon ausgenommen sind lediglich klassische Viren, die sich an andere Programme anhängen um ausgeführt zu werden. Hier wird sich jedoch auf die Erkennung von eigenständiger Malware beschränkt. Das Wissen um Prozesse hilft schon mal insofern, daß man nur den jeweiligen Malware Prozess finden muß, um ihn zu beenden und die Malware dadurch unschädlich zu machen.
 
1.1. Verdächtige Prozesse herausfiltern
 
Bevor man irgendetwas abschießt oder gar löscht, muß man sicher gehen, daß es sich nicht um gutartige notwendige Software handelt. Dazu muß man jeden einzelnen Prozess durchgehen und im Detail analysieren. Folgende Fragen sind dabei zu klären:
 
- Woher stammt das Programm?
- Wer ist der Hersteller des Programms?
- Öffnet das Programm einen TCP oder UDP Port um Befehle von außen aufzufangen?
- Wurde das Programm über einen Autostart-Eintrag automatisch gestartet?
- Läuft das Programm als Windows Dienst?
 
Da auf einem durchschnittlichen PC in der Regel um die 50 Prozesse aktiv sind, kann es schnell zu einer mühseligen Arbeit ausarten, wenn man alle diese Fragen mit den Windows hauseigenen Hilfsmitteln klären will. Hier kommt a-squared HiJackFree ins Spiel. Der Vorteil von HiJackFree liegt darin, daß eben genau diese für die Malware Bestimmung relevanten Fragen wesentlich schneller geklärt werden können.
 
Und so funktioniert es:
 
* Als erstes öffnet man den Abschnitt "Prozesse" und klickt rechts oben den ersten Button "Online Informationen aktualisieren". Dabei vergleicht HiJackFree die Liste der aktiven Prozesse mit einer Online Prozessdatenbank, die Informationen darüber enthält, welche Prozessnamen standardmäßig von gutartiger oder bösartiger Software verwendet werden. Die Prozessliste färbt sich fortan in grüne, gelbe, rote und weiße Zeilen.
 
* Grüne Einträge sind Prozessnamen, für die nur Informationen über gutartige Software in der Prozessdatenbank vorliegen. Man kann bei diesen Prozessen also schon einmal mit sehr hoher Wahrscheinlichkeit davon ausgehen, daß sie nicht bösartig sind. Es ist jedoch nie eine Garantie, daß die Prozesse gutartig sind. Es bedeutet lediglich, daß in der Prozessdatenbank keine Informationen über bösartige Prozesse mit den gleichen Namen vorliegen.
 
* Gelbe Einträge sind Prozessnamen, die von Malware ebenso wie von gutartiger Software verwendet werden. In diesen Fällen klickt man auf den Eintrag und scrollt im unteren Details Fenster ganz nach unten zu den Online Informationen. Dort werden alle Informationen aus der Prozessdatenbank angezeigt. Nun vergleicht man die dort verzeichneten Pfade mit dem Pfad des aktiven Prozesses auf dem PC. Ab hier wird ein gewisses Gespür für die Sache notwendig. Angenommen der Pfad des aktiven Prozesses ist:
 
c:\programme\bekannterhersteller\programm.exe
 
Und in der Prozessdatenbank gibt es zwei Einträge für programm.exe. Einer davon beschreibt einen bösartigen Prozess mit dem Pfad:
 
c:\windows\programm.exe
 
Und der andere beschreibt einen gutartigen Prozess mit dem Pfad:
 
c:\programme\bekannterhersteller\version 2\programm.exe
 
In diesem Fall kann davon ausgegangen werden, daß es sich bei diesem Prozess um einen gutartigen handelt, da der Pfad nur unwesentlich von einem als gutartig verzeichneten Prozess abweicht (in diesem Fall nur durch die Versionsnummer im Ordner Namen). Erkennt man den Prozess dann auch noch als bewusst installiertes gutartiges Programm anhand des Herstellernamens, kann man diesen Prozess getrost als 'gut' abhaken und zum nächsten fortfahren.
 
* Rote Einträge in der Prozessliste sind Prozessnamen, für die in der Prozessdatenbank ausschließlich Informationen über bösartige Programme vorliegen. Das kann wiederum zwei Gründe haben: Entweder es handelt sich wirklich um einen Malware Prozess oder es fehlt lediglich die Informationen in der Prozessdatenbank über ein gutartiges Programm, mit dem gleichen Namen. Auf jeden Fall empfiehlt es sich, den Prozess genauer zu untersuchen.
 
Gibt man z.B. den Dateinamen bei der Suchmaschine einer Wahl ein, um Informationen aus anderen Prozessdatenbanken zu erhalten, entscheidet man anhand des Pfades sowie der bereitgestellten Zusatzinformationen ob der Prozess gut oder böse ist.
 
Das Details Fenster in HiJackFree enthält eine Menge nützlicher Entscheidungshilfen dafür. Im Abschnitt "Datei Eigenschaften" sieht man die aus der jeweiligen Programmdatei ausgelesenen Eigenschaften, wie den Hersteller- und Produktnamen. Bei den "Prozess Details" sieht man außerdem, ob das Programm als Windows Dienst läuft (wenn ja, ist es weniger verdächtig), ob es über einen Autostart-Eintrag gestartet wurde (macht es verdächtig) und ob es TCP bzw. UDP Ports offen hält (sehr verdächtig).
 
* Weiße Einträge in der Liste sind Prozesse, zu denen keine Online Informationen gefunden wurden. Auch hier empfiehlt es sich, im Web nach weiteren Informationen zum jeweiligen Dateinamen zu suchen.
 
Man sieht also, HiJackFree kann nicht konkret sagen, ob ein Prozess Malware ist oder nicht, aber es kann  eine große Hilfestellung sein, wenn es um das Herausfiltern von sämtlichen System-Prozessen geht. deshalb sollte man sich in erster Linie auf die gelben, roten und weißen Zeilen fokussieren, dann spart man bereits bereits eine Menge Zeit. Wichtig ist jedoch, daß man nie blind auf die Färbung eines Eintrages vertrauen sollte!
 
1.2. Identifizierte Malware entfernen
 
Hat man einen Prozess eindeutig als schädlich identifiziert, geht es an die Reinigung des Computers:
 
* Um eine aktive Malware zu stoppen reicht es, den Prozess zu beenden bzw. wenn nötig abzuschießen. Dazu wählt man den Prozess in der Liste aus und klickt links im Menü auf den Button "Prozess abschießen". Beim nächsten Systemstart würde er aber wahrscheinlich wieder aktiv werden.
 
* Daher sollte die entsprechende Programmdatei des Prozesses gleich mitgelöscht werden: Checkbox "Datei löschen" ankreuzen. Es empfiehlt sich aber, die Datei nicht endgültig zu löschen, sondern sie erst einmal unter Quarantäne zu stellen, damit sie im Notfall wiederhergestellt werden kann, sollte es sich herausstellen, daß es doch keine Malware, sondern ein notwendiges Programm ist. Dazu kreuzt man die Checkbox "Backup speichern" an.
 
* Da Malware oft über so genannte Autostart-Einträge automatisch beim Systemstart geladen wird, sollten auch alle entsprechenden Einträge mit entfernt werden. Dazu kreuzt man die Checkbox "Referenzen löschen" an. In manchen Fällen kann das System außerdem instabil werden, wenn die Datei gelöscht wird, aber noch tote Autostart-Einträge vorhanden sind.
 
 
2. TCP/UDP Ports
 
TCP bzw. UDP Ports sind Datenkanäle, über die ein Programm Steuerbefehle aus dem Web empfangen kann. Beispiele für alltägliche Einsatzgebiete von TCP Ports sind Webserver (Port 80), FTP (Port 21), SMTP (Port 25) oder POP3 (Port 110). Aber auch Backdoor-Trojaner öffnen Ports, damit der PC von außen fernsteuerbar wird. Die Portnummern können dabei beliebig gewählt werden, jedoch kann ein Port immer nur von einem Programm besetzt werden.
 
Der Abschnitt Ports in HiJackFree zeigt alle offenen Ports auf dem PC und die dazugehörigen Prozesse. Man geht am besten, genauso wie bei der Prozess-Liste, alle Einträge durch und überprüft die verwendeten Ports. Unter Umständen hat sich ein Prozess durch einen geschickt gewählten Namen so gut getarnt, daß er nicht aufgefallen ist. In der Portliste kann er sich jedoch nicht verstecken. Offene Ports sind nicht grundlegend böse. Man sollte überprüfen, ob die Prozesse auch einen plausiblen Grund haben, Ports zu öffnen. Ein vermeintliches Textverarbeitungsprogramm öffnet zum Beispiel üblicherweise keine Ports.
 
3. Autostarts
 
In dieser Sektion von a-squared HiJackFree sieht man alle Autostart-Einträge auf dem System, über die verschiedene Programme beim Systemstart automatisch gestartet werden. Neben den Standard Autostart Orten in der Registry gibt es noch eine Menge weniger gut dokumentierter Orte im System, über die sich Programme automatisch ausführen lassen. HiJackFree zeigt 30 verschiedene Orte von Autostarts. Vor allem in der Sektion "Trickreiche Autoruns" sollte man jedoch vorsichtig sein und unbedingt einen Spezialisten konsultieren oder Detail Informationen im Web einholen, bevor man hier irgendetwas löscht,  das System könnte ansonsten sehr schnell unbrauchbar gemacht werden.
 
Die wichtigsten Autoruns findet man in der Sektion "Registry", wo es zwei Unterkategorien gibt: Autostarts, die systemweit aktiv sind und für alle Benutzerkonten gelten (HKLM) und solche, die nur für das angemeldete Benutzerkonto eingetragen sind (HKCU). Um zu testen, welche Auswirkung ein Autostart Eintrag hat, kann man ihn hier deaktivieren. Ein deaktivierter Eintrag kann später einfach wieder eingeschaltet werden. Ein komplettes Löschen ist nicht erforderlich.
 
Über den Button "Online Informationen aktualisieren" wird die Autostart-Liste ebenso wie bei der Prozessliste mit einer Online-Datenbank verglichen und eingefärbt, um die Identifikation eines Malware Autostarts zu erleichtern.
 
Hier sollte auch immer überprüft werden, ob man auch wirklich alle gelisteten Programme ständig benötigt. Beachten werden sollte, daß jedes ständig im Hintergrund aktive Programm unnötig Systemressourcen verwendet und die Leistung des Computers drosselt. Dabei sollte man aber nicht die Autostart-Einträge für die Sicherheitssoftware löschen. Der PC wäre ohne diese nach einem System-Neustart ungeschützt.
 
Tipp: Mit einem Doppelklick auf einen Eintrag im Verzeichnisbaum (z.B. Run), wird der Registrierungs-Editor geöffnet und man kann direkt auf die Registry zugreifen.
 
4. Windows Dienste
 
Der Abschnitt "Dienste" ähnelt sehr dem Dienste-Manager von Windows. Jedoch mit dem Unterschied, daß man in HiJackFree auch gleich den vollen Pfad zu den Diensten auf einen Blick sehen und eine Menge zusätzlicher Informationen im Details-Fenster erhält.
 
Im Wesentlichen unterscheidet sich die Dienste Liste wenig von der Prozessliste. Es ist sozusagen ein Filter auf die als Dienste im System registrierten Programme, zeigt jedoch auch derzeit gestoppte Dienste sowie versteckte Treiber (.SYS) an, die man sonst nicht zu sehen bekommt. Dienste werden von Windows beim Systemstart geladen, noch bevor ein Benutzer angemeldet ist. Eine als Dienst eingetragene Malware würde daher schon aktiv werden, bevor man als Benutzer auf dem PC irgendetwas machen kann.
 
5. Sonstiges
 
Im Abschnitt "Sonstiges" werden einige nützliche Tools zur Malware Beseitigung dargestellt:
 
5.1. Explorer Addons
 
* IE Toolbars
So manche Spyware installiert eine lästige Browser Toolbar für den Internet Explorer auf Ihrem PC. Hier kann man einzelne Toolbar Module bei Bedarf löschen.
 
* Shell Erweiterungen
Wenn man z.B. auf eine Datei im Explorer einen Rechtsklick macht, sieht man verschiedene Einträge im Kontext-Menü. Hier können verschiedene Module eingefügt werden. Wenn man den a-squared Scanner installiert habt, findet mandort auch die Erweiterung "Mit a-squared scannen". Aber auch Spyware könnte über so ein Modul aktiv werden.
 
* Shell Hooks
Auch hier handelt es sich um Module, die sich im Explorer einklinken um gewisse gute oder böse Funktionen bereitzustellen.
 
* Browser Hilfsobjekte - BHOs
Ähnlich den IE Toolbars handelt es sich auch hier um Browser-Erweiterungen für den Internet Explorer, die angezeigte Webseiten verändern können. Spyware nutzt solche Hilfsobjekte (BHOs) in erster Linie zum Einbinden von Werbung oder Popups auf den besuchten Webseiten.
 
* ActiveX
Auch das Betrifft nur den Internet Explorer. Diese Module ermöglichen es, bestimmte Browser-Funktionalitäten zu erweitern. Bekannte Browser ActiveX Module sind z.B. der Flash Player, ohne den keine bewegten Flash Animationen dargestellt werden könnten, aber auch der a-squared Web Malware Scanner, mit dem man den PC auf Malware Befall scannen kann.
 
5.2. LSP Protokolle
 
LSP steht für Layered Service Provider und bezeichnet eine Art Netzwerktreiber, die zwischen Programmen und Netzwerkkarte geschalten werden können. Adware nutzt solche Module um Werbung in den Empfangs-Datenstrom des Browsers einzufügen. Es gibt aber auch gutartige Anwendungsgebiete, wie z.B. Anti-Spam Programme, die Spam Emails direkt aus den empfangenen Daten aus dem Internet herausfiltern.
 
Man solllte beim Löschen von LSPs immer sehr vorsichtig sein! Wenn eine LSP DLL Datei gelöscht wird, ohne den entsprechenden Eintrag in der LSP Liste zu entfernen, funktioniert der Internetzugang höchstwahrscheinlich nicht mehr! Daher ist es notwendig, LSPs immer sauber zu entfernen - a-squared HiJackFree hilft dabei.
 
5.3. Hosts Datei
 
Ebenso wie die zuvor beschriebenen Abschnitte läßt sich auch die Hosts Datei für gute, wie auch für böse Absichten verwenden. Mit der Hosts Datei ist es möglich, bestimmte Hostnamen unabhängig vom DNS auf eine bestimmte IP Adresse zu legen.
 
Kurzer Abstecher in die Welt des Domain Name Systems (DNS): Wenn man z.B. im Browser die Adresse www.emsisoft.com eingibt, wird zuerst der nächstgelegener DNS Server gefragt, auf welcher IP Adresse diese Web-Adresse (Domain) liegt. Der wiederum gibt dem Browser dann als Antwort: 80.237.191.14. Der Browser verbindet sich fortan mit dieser IP und erhält die angeforderten Homepage Daten.
 
Mit der Hosts Datei kann man nun den DNS Server übergehen. man fügt z.B. folgende Zeile ein:
 
127.0.0.1 www.emsisoft.com
 
Dann öffnet man den Browser und gibt www.emsisoft.com ein. Man wird statt zum a-squared Webserver, auf den eigenen PC umgeleitet (127.0.0.1 ist immer der eigene PC).
 
Spyware nutzt diesen Trick zum Beispiel, um die Web Adresse der eigenen Bank auf einen Hacker Server umzuleiten, wo eine Kopie der Online Banking Anwendung liegt. Man merkt kaum einen Unterschied, sobald man jedoch die PIN Nummer eingibt, loggt man sich nicht bei der Bank ein, sondern auf einem Server eines Angreifers, der das Konto abräumen will.
 
Diese Technik hat aber auch eine nützliche Seite. So kann man z.B. die Adressen von diversen Werbenetzwerken auf die lokalen IP umleiten, um Werbung auf Webseiten zu unterbinden. Fertige Hosts Dateien für diesen Zweck gibt es z.B. bei MVPS.org. Web-Entwickler nutzen die Hosts Datei auch für Test-Zwecke während des Programmierens.
 
5.4. ActiveX Module
 
Anders als beim Abschnitt für die Browser ActiveX Module, sieht man hier hier alle systemweit registrierten ActiveX DLLs. Solche DLLs sind Programm-Module, die für andere Programme öffentlich zur Verfügung gestellt werden. Wenn man z.B. in MS Word eine MS Excel Tabelle einfügt wird ein solches ActiveX Modul für die programmübergreifende Kommunikation verwendet.
 
HiJackFree färbt alle ActiveX Einträge in der Registry rot, die nicht mehr aktiv sind. Nicht aktiv bedeutet, daß in der Registry Informationen zu einem Modul vorhanden sind, für das keine DLL Datei mehr existiert. Solche Einträge können in der Regel problemlos gelöscht werden.
 
6. Fazit
 
a-squared HiJackFree ist ein mächtiges Werkzeug, aber definitiv nichts für Anfänger. Anders als ein Malware-Scanner kann es nicht sagen, ob ein Programm definitiv Malware ist oder nicht. Es kann aber dabei helfen, versteckte Malware aufzudecken und restlos zu entfernen.
 
Dieses Tutorial zeigt, wie vielseitig und kreativ Malware-Programmierer ein System knacken wollen. Man sollte sich darüber im Klaren sein, daß jedes der hier beschriebenen Themen nur die Spitze des Eisbergs an Verwendungsmöglichkeiten aufzeigt.  
 
Viel Erfolg bei der Malware Suche!  
 
a-squared HiJackFree 2.0
zum Seitenanfang
 
 
24 Stunden Rock nonstop
Auch immer wieder nett

Profil zeigen   IP gespeichert
Seiten: 1
Thema versenden Drucken
PC-ForumNetzwerkeSicherheit
(Moderatoren: Siege, louiggy, Schnoopy) - (Moderatorgruppe: PCF-Team) 		Vorheriges Thema | Nächstes Thema
Impressum

PC-Forum » Powered by YaBB 2.1!
YaBB © 2000-2005. All Rights Reserved.
Beiträge die in diesen Foren erscheinen, repräsentieren allein die Meinung der jeweiligen Verfasser.
Der Betreiber dieser Website/Domain erklärt hiermit ausdrücklich dass er keinerlei Einfluss auf die Inhalte der Beiträge dieser Foren hat und er sich, unabhängig davon, ausdrücklich von den Inhalten sämtlicher Beiträge dieser Foren distanziert und er sich die Inhalte dieser Beiträge unter keinen Umständen zu Eigen macht.
Der Betreiber dieser Website/Domain erklärt hiermit ausdrücklich dass er keinerlei Einfluss auf die Gestaltung und auf die Inhalte von gelinkten Internet-Seiten hat, er sich deshalb in jeglicher Form von den Inhalten der gelinkten Internet-Seiten distanziert und er sich diese Inhalte unter keinen Umständen zu Eigen macht.
Diese Erklärungen gelten für alle im Rahmen dieser Website/Domain veröffentlichten Beiträge wie auch für alle im Rahmen dieser Website/Domain angezeigten Links sowie für alle Inhalte der Internet-Seiten zu denen diese Links führen.


Valid XHTML Valid CSS Powered by Perl Source Forge



AcessControl - Protection Software and bot trap


EveryScript



Die Zeitdifferenz gegenüber Westeuropa beträgt -6 Stunden.


Weitergehende Informationen zum aktuellen Rohoelpreis finden sich hier.

Der aktuelle Wechselkurs Euro <=> US-Dollar.

Die aktuellen Benzinpreise in Deutschland.




PC-Forum zu Mister Wong hinzufügen