Tastaturkürzel
Shortcuts und Programmtipps

Lotus-Software

Microsoft-Software

OpenOffice

Andere

Infos

DFÜ

Befehlszeilenparameter
und Programmtipps

Hardware

Fristenlisten

Obligatorisches

Downloads

 

 

Schadware

Inhalt

Definitionen

Malware, Viren, Trojaner, Würmer, Spyware, Bossware, Keylogger, Phone Home-Software und Dialer sind einige Kategorien, die für Software verwendet wird, die man nicht auf seinem Rechner haben will, weil Daten verändert oder ausspioniert werden oder weil Kosten durch Telefonverbindungen verursacht werden. Malware ist ein Oberbegriff für schädliche Software jeglicher Art. Als schädlich wird Software angesehen, wenn sie Daten ohne Wissen oder Willen des Anwenders verändert, Verhaltensprofile erstellt oder Aktionen ausführt. Bossware dient der Überwachung von Mitarbeitern und ist rechtlich durchaus fragwürdig. Spyware, Trojaner und Keylogger sollen Daten sammeln, insbesondere zum Verhalten bei der Nutzung des Internet, und/oder Daten, besonders Passworte, Zugangsdaten und Kreditkarteninformationen, abfischen. Das ausspionieren von Passworten nennt man phishing und setzt sich aus password und fishing zusammen. Trojaner können zudem Rechner aus der Ferne manipulieren und zum Versenden von Spam missbrauchen.
Unter Phone Home-Software versteht man Programme, die sich ohne das Wissen des Anwenders beim Hersteller melden und Daten übertragen, dessen Inhalt in der Regel verschlüsselt ist und von Anwender nicht kontrolliert werden kann.
Eine weitere Kategorie fieser Software sind so genannte Rootkits. Diese Werkzeuge verankern sich zwischen Anwendungen und dem Betriebssystem. Man unterscheidet hierbei zwischen Kernel-Rootkits, die sich im Kern des Betriebssystems verankern und dafür sorgen, das die Komponenten des Kits nicht mehr sichtbar sind. So getarnt können sie ihre Schadfunktion ungestört ausüben. Eine weitere Rootkit-Familie manipuliert die laufenden Prozesse im RAM und können so ihre Aktivitäten, selbst vor dem Taskmanager, verstecken.

Nutzlose kostenpflichtige Dienste

Faule, aber geschäftstüchtige Zeitgenossen bieten einfache Informationen, die es auch kostenlos im Internet gibt, als kostenpflichtigen Dienst an. Beliebt sind Kochrezepte, Bilder und Handy-Software. Durch entsprechende Platzierungen befinden sich bestimmte Suchworte und Kriterien im Ranking der Findemaschinen ganz vorn.
Die Web-Seite Dialermania.de listet Links, die kostenlose Entsprechungen zu kostenpflichtigen Empfehlungen und Dialer-Anbietern wie zum Beispiel Klingeltönen, Kochrezepten und ähnlichen bieten

Find 'em 'n' destroy 'em, eine Einleitung

Garstige Software zu finden, die den eigenen Schutzmaßnahmen entgangen sind, kann man zu einem guten Teil selbst finden und ausschalten. Ein wenig Erfahrung gehört zwar dazu, aber die Hilfsmittel sind einfach zu bedienen.
Böswillige Software muss zunächst gestartet werden und wird bei den meisten Programmen auch versuchen ins Internet zu gelangen. Beide Eigenschaften bedeuten, dass man diese Schädlinge auch finden kann.
Viren, Würmer, Trojaner, Bossware, Spyware und wie sie alle sonst noch heißen, müssen mit dem System gestartet werden und mit Hilfe von msconfig kann man die mit dem System startenden Programme identifizieren, sysedit bietet die Möglichkeit, die Dateien autoexec.bat, config.sys, win.ini und system.ini zu editieren, regedit ermöglicht die Arbeit an der Registrierdatenbank. Das sollte man allerdings nur mit entsprechender Sachkenntnis machen.
Schadprogramme können mit system.ini, win.ini, autoexec.bat, config.sys, der Autostart-Gruppe und entsprechenden Einträgen in der Registrierdatenbank, HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und HKCU\Software\Microsoft\Windows\CurrentVersion\Run gestartet werden.

Prozeduren

Mit Hilfe des Task-Managers kann man sich anzeigen lassen, welche Prozesse gerade laufen. Der Windows-eigene Task-Manager wird unter Windows 2000 und XP mit STRG+SHIFT+ESCAPE aufgerufen und zeigt im wesentlichen nur die Namen der Programme und Prozesse, die aktiv sind. Komfortabler ist da schon das Task-Manager-Plugin für der Total Commander Er Liefert über das Kontext-Menü weitere Informationen zu den laufenden Prozessen. Weit darüber hinaus gehen die Informationen, die der kostenlose Process Explorer von Microsoft, ehemals Sysinternals, liefert; ein ähnlicher Process Viewer gehört zum Lieferumfang der verbreiteten Norton SystemWorks. Mit den zunehmenden Informationen, die die Programme liefern, nimmt allerdings auch die notwendige Kenntnis zu, die man benötigt, um die Daten auch richtig interpretieren zu können. Hilfreich sind die Informationen, die die Seiten von Reger24 zu den verschiedensten Prozessen liefert.
Die wichtigsten Daten sind hierbei der Name des Programmherstellers, der Pfad und der Namen, auch wenn natürlich die Hersteller von unliebsamen Programmen versuchen, ihre Herkunft zu verschleiern.

Sperriger zu benutzen und zu interpretieren sind die Daten von netstat. Mit Hilfe dieses Kommandozeilen-Programms und der Option -o kann man sehen welche Daten über welche Ports gehen, die PID zeigt, welches Programm hinter den angegebenen Daten steckt. Der Task-Manager zeigt die PID-Informationen nicht standardmäßig an, sondern erst nachdem man unter Ansicht-Spalten auswählen PID ausgewählt hat.

Ein Beispiel

An einem einfachen Beispiel soll gezeigt werden, wie man sich einem Programm nähern kann, das eine Verbindung ins Internet aufgebaut hat. Diese einfache Liste mit netstat -0 erstellt zeigt nur drei laufende Prozesse, einer hat die PID 2456.

C:\>netstat -o

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP deep:1040 localhost:1579 HERGESTELLT 1956
TCP deep:1579 localhost:1040 HERGESTELLT 2456
TCP deep:1580 pop.1und1.com:pop3 SYN_GESENDET 1956

C:\>

Der Windows-eigene Taskmanager zeigt unter der PID 2456 das Programm msmin.exe. Weitere Informationen sind hier kaum zu bekommen.

 

Der Total Commander zeigt mit dem installierten Process-Viewer-Plugin unter dem Dateinamen msmin.exe schon mit dem bekannten Symbol an, das es sich bei dem oben erkannten Programm anscheinend um Outlook Express handelt. Mit Hilfe der Eigenschaften erfährt man mehr über das Programm und kann hier am Verzeichnis erkennen, dass es sich tatsächlich um Outlook Express handelt.
Eine interessante Information bietet der letzte Zugriff. Ein Programm, das etwa mehrere Tage nicht lief, wird kein Trojaner oder Keylogger sein. Solche Programme starten nicht nur mit dem System, sondern werden täglich aktiv sein.
In den weiteren Reitern findet man zusätzliche Informationen zu dem Programm, unter anderem wer der Hersteller ist, Version-Firma.
Darüber hinaus liefert das Programm Process Explorer von Sysinternals viele Informationen, die für einen Laien nicht mehr unbedingt verständlich oder auch nur interessant sind. Allerdings werden die Dateieigenschaften auch besser präsentiert als bei den Windows-eigenen Datei-Eigenschaften im Kontextmenü.

verwendete Abkürzungen

 

| [17. Juli 2008]