Wirkungslose Antimalware: Schädlinge trotzdem erkennen

Zu einer erfolgreichen Suche nach einem Schädling gehört grundsätzlich, dass man möglichst weiß, was auf dem eigenen Rechner laufen darf und was nicht. Eine Malware, die nicht gerade Kernel-Mode-Rootkit-Technologien zur Tarnung verwendet, ist immer sichtbar und auffindbar. Die meisten Schädlinge verwenden keine Kernel-Mode-Rootkit-Technologien, weil ihre Entwicklung sehr aufwändig sind. Malwareprogrammierer vertrauen überwiegend auf konventionelle Schadsoftware, wobei ihnen der Erfolg Recht gibt.

Bei neueren Windows-Betriebssystemen ist es nicht einfach, zu erkennen, welche Prozesse, Treiber und Dienste zum Betriebssystem gehören. Das gilt insbesondere für Windows Vista. Ohne die Hilfe von Tools ist manuell nichts zu machen. Das Prinzip der manuellen Erkennung einer Schadsoftware ist jedoch recht simpel:

1. Dokumentation aller laufenden Prozesse, Dienste und Treiber möglichst nach der Erstinstallation des Rechners
2. regelmäßiges Vergleichen der ursprünglichen Liste mit einer neu erstellten
3. Zuordnung aller neu hinzugekommenen Prozesse, Dienste und Treiber zu legitimer Software
4. Identifizierung und Entfernung von Malware-Komponenten

Das hört sich in der Theorie jedoch einfacher an, als es in der Praxis ist. Zwar kann man nach dem Booten leicht den Windows-Taskmanager starten und sich alle Prozesse anschauen, jedoch fällt es schwer, zu überblicken, ob und was eventuell dazugekommen ist. Die einfachste Möglichkeit ist die Verwendung des Kommandozeilenbefehls Wmic. So erhält man beispielsweise mit dem Befehl „Wmic Path Win32_Systemdriver Get Description,Name,State,Pathname“ eine Übersicht über alle Kernel-Mode-Komponenten, siehe Bild 1. Hängt man an den Befehl „>Drivers-2009-01-09.txt“ an, so wird die Ausgabe in die Datei Drivers-2009-01-09.txt umgeleitet.

Auf diese Weise lässt sich nach der Erstinstallation oder zu einem beliebigen Zeitpunkt, bei dem man davon ausgeht, dass der Rechner frei von Malware ist, dokumentieren, welche Kernel-Mode-Software installiert ist. Mit demselben Befehl ist es möglich, in regelmäßigen Abständen oder spätestens, wenn der Verdacht besteht, dass man sich eine Schadsoftware eingefangen hat, eine Vergleichsliste zu erstellen, beispielsweise mit „Wmic Path Win32_Systemdriver Get Description,Name,State,Pathname >Drivers-2009-01-23.txt“.

Diese beiden Dateien werden nun miteinander verglichen. Dazu eignet sich beispielsweise das Freeware-Programm Windiff. Schnell sieht man wie in Bild 2, dass eine Veränderung stattgefunden hat. Ein Treiber, der sich als "Windows Internet Accelerator" tarnt, ist in Wirklichkeit ein Werbe-Pop-up. Verdächtig ist das Verzeichnis C:$HACKERZ$ und der Dateiname AdPopup.sys.

Analog dazu geht man mit Prozessen und Diensten vor. Die Prozesse lässt man sich sinnvollerweise in eine Datei schreiben, nachdem man sich eingeloggt, aber noch kein Programm gestartet hat. Dazu wird der Befehl „Wmic Process Get Caption,ExecutablePath“ verwendet. Alle Dienste listet der Befehl „Wmic Service Get Caption,Started,Startmode,Pathname,Name“ auf.

Das Verfahren, Prozesse, Dienste und Treiber zu vergleichen ist zwar mit einem gewissen Aufwand verbunden, aber im Endeffekt schnell durchgeführt. Fast alles kann mit Windows-Bordmitteln durchgeführt werden. Lediglich ein Dateienvergleichsprogramm muss der Anwender herunterladen. Schwieriger ist es, neue Komponenten, die auf diese Weise gefunden werden, zuzuordnen. Jedes Gerät, dass man anschließt, erzeugt mindestens einen neuen Kernel-Mode-Dienst.