Um die Identifizierung zu erleichtern, sollte man beim Einspielen von Software ein wenig aufpassen und sich vor allem merken, in welches Verzeichnis sich die Software installiert. Ermittelt man anschließend mittels Wmic-Befehlen, was neu hinzugekommen ist, so kann der Pfadname die Zuordnung erleichtern. Zu beachten ist, dass Kernel-Mode-Treiber fast immer in das Verzeichnis C:WindowsSystem32Drivers installiert werden, unabhängig davon, was man als Installationspfad für eine Software gewählt hat.
Neu hinzugekommene Komponenten, die man nicht identifizieren kann, darf man getrost zunächst einmal auf die Verdachtsliste für eine Malware setzen. So einfach wie in Bild 2 machen es einem die meisten Schädlinge nicht, dass sie sich in einem Verzeichnis mit dem Namen C:$HACKERZ$ einnisten. In der Regel verstecken sie sich in bekannten Verzeichnissen, etwa Unterverzeichnissen von C:Program Files oder C:Windows, und tragen Namen, die suggerieren, sie seien Teil des Betriebssystems, beispielsweise csrrss.exe. Diese Datei kann leicht mit dem Win32-Subsystem csrss.exe verwechselt werden, ist aber in Wahrheit der Wurm W32.Rbot-BBH.
Um auszuschließen, dass es sich bei einer neu gefundenen Datei um einen Schädling handelt, kann man einen Black-, White- und Greylistinganbieter wie Greatis.com nutzen. Hat man etwa die Datei uliagpkx.sys als neuen Treiber gefunden, so kann man sich dort versichern, dass es sich um einen Original-Treiber von Vista handelt, siehe Bild 3.
Ebenso lässt sich bei Greatis nachschauen, dass es sich bei der Datei lvcm.sys um einen Treiber für Logitech-Webcams handelt. Wer sich ganz sicher ist, dass er zu keinem Zeitpunkt eine Webcam installiert hat, sollte trotzdem Verdacht schöpfen. Dann handelt es sich vermutlich um eine Schadsoftware mit gleichem Namen. Entwarnung gibt es dagegen, wenn man eine Webcam von einem vermeintlich anderen Hersteller installiert hat. Das bedeutet in der Regel, dass es sich um ein OEM-Modell handelt, welches dieselben Treiber verwendet.
Generell sollte man gelassen reagieren, wenn die MD5-Prüfsumme der verdächtigen Datei auf dem Rechner nicht mit der auf der Greatis-Website übereinstimmt. Das bedeutet meist, dass die Datei über Windows-Update ausgetauscht wurde, und nicht, dass sie verseucht ist. Das Austauschen von Original-Dateien durch Malware-Programmierer kommt zwar vor, ist aber äußerst selten.
Eher abzuraten ist davon, für eine verdächtige Datei eine Google-Suche durchzuführen. Die Informationen, die man in verschiedenen Foren findet, sind wenig zuverlässig und in der Regel widersprüchlich. Sinnvoll ist eine Google-Suche nur, wenn man nur Suchergebnisse bekannter Sicherheitsunternehmen wie Symantec, Avira, McAfee, AVG, F-Secure und Kaspersky berücksichtigt. Auch bei den namhaften Herstellern muss beachtet werden, dass sie User-Diskussionsforen betreiben, in denen man viele Falschinformationen findet.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…