Botnetze: Angriff der unerkannten Computerzombies

Nach jedem Schädlingsbefall muss man damit rechnen, dass sich ein Bot auf den Rechner eingeschlichen hat – und selbst wenn die Virensoftware anschließend grünes Licht gibt, heißt das gar nichts, denn aktuelle Bot-Varianten werden von Anti-Virensoftware oft nicht erkannt. „Bots setzen bis zu 14 Varianten und mehr pro Tag von sich in die Welt“, erzählt Andrew Lee, Chief Technology Officer beim Sicherheitsexperten Eset. Daher könne Antiviren-Software so schnell gar nicht reagieren.

Wer sich ein bisschen mit seinem Computer auskennt, kann ihnen aber trotzdem auf die Spur kommen: Er muss nur mal einen Blick in den Task-Manager werfen. Jeder Rechner listet dort die derzeit aktiven Prozesse auf. Die meisten Bots sind hier mit Namen zu sehen, man sollte also Ausschau halten nach allem, was man nicht zuordnen kann. Profis können auch einen Blick in die Registry werfen, dort hinterlassen die Schädlinge ebenfalls Spuren. Üblicherweise werden sie nach einem Systemstart über einen Registry-Schlüssel gestartet, der das Format „HKLM Software Microsoft Windows CurrentVersion Run“ hat.

Es gibt außerdem Werkzeuge, die auf Trojaner und Bots spezialisiert sind und die bei der Suche helfen. Der Spybot Search&Destroy findet beispielsweise Spion-Programme, die Nutzerdaten sammeln und versenden. Vom gleichen Anbieter gibt es den RegAlyzer mit dem sich die Windows Registry auf Veränderungen untersuchen läßt.

Die IP-Adressen sind oft bekannt, sie abzuschalten ist dennoch leichter gesagt als getan: Es ist ein Kampf gegen eine Hydra.

Der TrojanHunter sucht nach Trojanern und findet auch modifizierte Varianten oder Teile von Trojanern. Er scannt außerdem die Registry und schaut, ob der Rechner eventuell Ports offen hat, die Trojaner gern benutzen. Auch Microsoft hat sich des Themas angenommen, seine Antispyware ist allerdings erst in der Beta-Version zu haben. Die Website verspricht, dass die Software „leicht und schnell“ Spyware vernichten würde – hier ist Vorsicht geraten. Die Spezialisten des CERT an der Universität Stuttgart raten eher dazu, im Zweifelsfall das System komplett neu zu installieren. Denn viele Bots greifen so tief in das Betriebssystem ein, dass auch die Scanner versagen. „Bots verändern oft Dinge, die von Veränderungen, die der Benutzer auch intendiert vornehmen könnte, kaum oder schwer zu unterscheiden sind“, erklärt Sicherheitsexperte Tom Fischer vom Rechenzentrum der Universität Stuttgart. Zudem spionieren die meisten Bots Passwörter aus, nach einer Infektion sollten daher alle Passwörter und sonstigen Authentifizierungsmechanismen geändert werden.

Themenseiten: Hacker, Security-Analysen, Spyware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Botnetze: Angriff der unerkannten Computerzombies

Kommentar hinzufügen
  • Am 28. August 2005 um 22:18 von HighCo

    Viren
    Auf Seite zwei, zweiter Absatz.

    Seit wann dringen Viren von Aussen in die PC’s ein? Viren installiert der User afaik selber, wenn auch nicht gewollt. Es liegt schon an der Struktur eines Virus, da es keine eigene Programmroutine mitbringt und somit ein Wirtsprogramm benötigt, welches von menschlicher Hand ausgeführt werden muss.
    Es sollte daher in der besagten Stelle im Artikel Virus durch Trojaner ersetzt werden.

    • Am 5. September 2005 um 16:11 von MT

      AW: Viren
      Kommt auf deine Definition von eindringen an. Wenn ein Virus in eine bekannte exe datei oder ähnliches huckepack kommt, dringt er ja schon in die Datei ein. Um mit der Datei dann in den Computer.
      Die meisten Würmer dringen ja auch nicht von selbst in den PC ein, es muß sie ja erstmal wer freilassen???

      Interessant an der Bot geschichte ist, das doch eigentlich eine mittelmäßige firewall die ankündigt wenn unbekanntes ins netz will und checksummen von dateien die verbindung aufnehmen dürfen anlegt so einen Bot 100% stoppen müßte oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *