Mit Process Explorer nach Schadsoftware suchen

Bei der Suche nach Schadprogrammen kann der Process Explorer von sysinternals wertvolle Hilfe leisten. Zum Start des Process Explorers im Datei-Manager den folgenden UNC-Pfad eingeben:

\\live.sysinternals.com\tools

Rechte Maus auf die Datei procexp64.exe (bei einem 64-bit System) und „als Administrator ausführen“ wählen. Bei Systemen mit ARM-CPU befindet sich im Unterverz. ARM64 die passende Datei.

Zunächst sollte die Spalte „Verified Signer“ angezeigt werden. Gehen sie dazu auf „View/ Select Colums“ und wählen die Spalte „Verified Signer“ aus. Nun muss noch die Option „Options/ Verify Image Signatures“ aktiviert werden.

Ein kritischer Blick lohnt sich auf diejenigen Einträge, die im Feld „Company Name“ einen bekannten SW-Hersteller beinhalten, aber der dazugehörige Eintrag in der Spalte „Verified Signer“ nicht dazu passend ist, oder der Eintrag leer ist.

Der Process Explorer hat eine Schnittstelle zu VirusTotal.com. Um den Virenscanner zu nutzen, muss zunächst die Funktion „Options/ VirusTotal.com/ Check VirusTotal.com“ aktiviert werden und dem Service-Hinweisfenster zugestimmt werden. Nun erscheint in der Process-Übersicht eine zusätzliche Spalte „Virus Total“. Abhängig einer zwischengeschalteten Firewall oder eines Proxyservers kann eine Übertragung der zu prüfenden Dateien oder des Hashwertes der Datei auch verhindert werden.

Best case ist ein Eintrag in Form von „0/76“. Der Eintrag bedeutet dass bei 76 Virenscannern kein Virus entdeckt wurde. Wenn als erste Zahl eine niedrige Zahl erscheint ist das im Regelfall ein Hinweis auf False Positive. Ein Mausklick auf einen Eintrag in der Spalte „Virus Total“ liefert detaillierte Informationen zum Ergebnis des Virenchecks.

Erscheint in der Spalte „Virus Total“ der Eintrag „Unknown“ kann mit einem Rechtsklick und Auswahl „Check Virus Total“ die Datei an Virus Total zum Virenscan versendet werden.

Im worst case (Virenfund) sollte der betroffene Prozess mit dem Befehl „suspend“ (rechte Maus auf den Prozess und „Suspend“ wählen) zunächst beendet werden.Wenn sie den betroffenen Prozess markieren und mit der rechten Maus auf Eigenschaften (Properties) gehen, können sie im Register „Image“ im Eintrag „Autostart Location“ herausfinden, wie der Prozess startet. In einem zweiten Schritt können sie nun versuchen ggfs. den betroffenen Registry-Key zu löschen oder mit dem sysinternal Tool „autoruns“ den Starteintrag zu entfernen.

Alternativ ist auch die Auswahl „Kill Process“ hilfreich, jedoch können so beendete Prozesse häufig wieder neu starten. Um den Neustart zu verhindern ist es meist hilfreich im Prozessbaum benachbarte Prozesse ebenfalls zu analysieren und ggfs. zu beenden bzw. das Startverhalten der Nebenprozesse zu betrachten und ebenfalls zu beenden.

Maleware-Analyse mit Sysinternals-Tools

Zur Problembehebung, Diagnose, Virenanalyse, etc. eines PCs eignen sich hervorragend die Sysinternal-Tools von Mark Russinovich, die seit Juli 2006 über die Microsoft-Homepage zugänglich sind. Die Sysinternals-Tools können heruntergeladen oder – noch einfacher – Online gestartet werden.

Trojanerentdeckung (Carberp) mit Process Explorer

Im com! Sonderheft Sicherheit 5/6/7 2011 ist beschrieben, wie mit dem Process Explorer der Trojaner Carberp aufgedeckt werden kann. Der Trojaner manipuliert den Windows-Explorer und injiziert Schadcode. Zur Analyse starten Sie den Process Explorer indem alle aktiven Prozesse hierarchisch angezeigt werden. Wählen Sie den Prozess „explorer.exe“ aus und blenden Sie das Detailfesnter zu diesem Prozess ein (über View/ Show Lower Pane). Stehen in der Spalte „Type“ spezielle Thread-Einträgen mit Namen <Non-existent Prozess> kann dies ein Hinweis für einen Carberp Infektion sein. Zur Beseitigung des Trojaners können Sie das Carberp Removal Tool von Bitdefender ausführen.

Virenanalyse (Stuxnet) mit Autoruns, Process Explorer und Process Monitor

Der Entwickler der Sysinternals-Tools Mark Russinovich stellt in seinem Blog immer wieder sehr gelungene (auch sehr technische) Artikel zum Umgang der Tools vor. Eine Virenanalyse in drei Teilen zum Virus Stuxnet finden Sie hier. Viren verstecken sich häufig in unbekannten bzw. nicht verifizierten Autostart-Einträgen. Siehe dazu auch folgenden Blog-Eintrag.

Als Einstieg in die Sysinternals Suite eignen sich auch die CaseOfTheUnexplained-oder Sysinternals-Tools Videos.

Best Practice: Virenalarm

Was tun wenn der Virenscanner „dreimal klingelt“? Statt in Panik zu verfallen kann folgende Vorgehensweise sinnvoll sein.

1. Analyse

Zunächst einmal sollte man sich fragen, wer überhaupt den Virusverdacht gemeldet hat. Die heutigen Virenscanner beinhalten unterschiedliche Wächtermodule wie z.B. Signaturerkennung, Heuristik (Virenmeldungen mit „heur“), Verhaltens-erkennung (Virenmeldungen mit „gen“) oder In-the-Cloud-Erkennung. Der Pfad und Dateiname der Virusmeldung ist festzuhalten. Die verdächtige Datei sollte zunächst nur gesperrt oder protokolliert werden, bevor Sie zu schnell auf Desinfizieren oder Löschen drücken. In vielen Fällen ist es sinnvoll erst mal von einem Notfall-System zu booten und eine Kopie der identifizierte (dann ungesperrten) Datei an einen Analysedienst im Internet zu schicken. Der Hinweis gilt umso mehr, wenn die Viruserkennung auf Heuristik oder Verhaltenserkennung basiert.

2. Informationen sammlen

Oft sind die Hinweise der Virenmeldungen wenig aussagekräftig. Ein spezialisierter Online-Dienst liefert meist mehr Informationen und ergänzt damit eine zweite Beurteilung.

2a. Virustotal

Virustotal scannt jede hochgeladene Datei mit mehr als 40 Virenscannern. Klicken Sie auf der Website zum Hochladen einer verdächtigen Datei auf „Durchsuchen.. “ Wenn die Datei schon bekannt ist, erscheint die Meldung „File already submitted“. In diesem Fall klicken Sie auf „Reanalyse“, um den mehrfachen Virenscan erneut mit aktualisierten Signaturen anzustoßen. Nach Abschluß des Virenscans weisen rote Einträge im Log auf eine virulente Datei hin. Mit den roten LOG-Einträgen ist eine weitere Recherche z.B. über google möglich.

2b. Threat Expert

Auch Threat Expert kann hochgeladene Dateien in einer Sandbox-Umgebung analysieren. Nach wenigen Minuten erhalten Sie eine E-Mail mit einem Link auf das Prüfergebnis.

2c. Jottis Malwarescanner

Eine Alternative bietet auch der speziell auf Malware optimierte Linux-basierte Virenscanner von Jotti.

2d. Virenlexikon

Noch speziellere Informationen bekommen Sie über ein Virenlexikon. Beispielsweise  verwaltet Kaspersky Lab eine große Virendatenbank.

Entscheiden Sie aufgrund gesicherter Informationen, ob es sich tatsächlich um einen Virus oder ähnliches handelt. Bei Virenbefall können Sie meist selber über die Notfall-Live-CD den Virus manuell löschen. Vorsicht ist beim Löschen von Systemdateien geboten!

3. Online-Scanner

Wenn auf einem PC ein Virus entdeckt wurde, sind häufig noch mehrere Dateien betroffen. Nach einer ersten Virenbereinigung mit einem Offline-Einsatz einer Live-CD können Sie nach dem Reboot in ihre Produktionsumgebung einen Online Virenscanner zur weiteren Analyse starten

3a. F-Secure Online Scanner

Der javabasierte Virenscanner kann nach dem Start mit „Prüfung durchführen“ und Auswahl „Vollständigen Scan“ gestartet werden. Entscheiden Sie pro Datei wie mit einem möglichen Virus umgegangen werden soll.

4. Einsatz von Live-CDs

Hier im Blog wurden schon mehrere Live-CDs zum Virenscan (Avira Antivir Rescue System, Kaspersky Rescue Disk, AVG/F-Secure Rescue CD, Desinfec’t, etc.) beschrieben. Entscheiden Sie je nach Konfiguration welches Rettungssytem für Sie geeignet ist.

5. Weitere Tools zur Virenbeseitigung

Sie können auch auf ihrem Produktionssystem weiter Virenscan-Tools installieren. Hier eine Auswahl:

5a. Bitdefender Free Edition

Der kostenlose Virenscanner verfügt über einen Hintergrunddienst, der sich auch als Zweitscanner bzw. Zweitmeinung eignet.

5b. Anti-Malware

Anti-Malware ermöglicht eine schnelle und gründliche Suche nach Trojanern.

5c. Rootkit Buster

Das TrendMicro-Produkt Rootkit Buster analysiert tief im System nach Rootkits. Es werden Registry-Einträge untersucht, Prozesse und Treiber analysiert und auch der MBR geprüft.

5d. Blitzblank

Das Freeware-Tool Blitzblank läuft nicht als Dienst sondern integriert sich in den Windows-Explorer (ohne Installation). Beim Neustart des Computers können markierte (virulente) Dateien automatisch gelöscht werden.

5e. c’t-Helper

Im c’t Magazin 05/08 wurden 22 essenzielle Hilfswerkzeuge u. a auch zum Säubern von PC-Systemen vorgestellt. Das c’t-Projekt stellt Hilfsprogramm zur Seite, die quasi automatisch für die Aktualisierung der einzelnen SW-Produkte sorgen.

Säuberungs-Tools innerhalb c’t-Helper:

  • CleanHandlers (entmistet AutoPlay-Handler unter XP und Vista),
  • Disk Cleaner (säubert Browser-Caches, Temp-Verzeichnisse, Cookies, etc.),
  • EasyCleaner (säubert Windows-Registry, auf Wunsch auch temporäre Dateien u.ä.),
  • EasyCleaner Blacklist (Ausnahmen für Registry-Säuberer von EasyCleaner),
  • ICSweep (säubert IE-Cache, TEMP-Verzeichnisse aller Anwender),
  • RegAlyzer (umfangreicher Editor für die Registrierungsdatenbank)

Malware-Scanner innerhalb c’t-Helper:

  • Ad-Aware 2007 Free (Inst., sucht und entfernt Ad- und Spyware),
  • Ad-Aware 2007 Malware Definition File (Malware-Sign. für Ad-Aware 2007 Free),
  • Avast Virus Cleaner (sucht und entfernt bestimmte Trojaner, Viren und Würmer),
  • Catchme Userland Rootkit Detector (sucht und erkennt einfache Rootkits),
  • F-Secure Blacklight Rootkit Eliminator (sucht und entfernt Rootkits),
  • Gmer (Stickware, sucht und entfernt Rootkits auch auf Offline-System)
  • McAfee Stinger (Inst., sucht und entfernt ausgewählte Trojaner, Viren und Würmer),
  • McAfee Avert Stinger for W32_Polip (sucht u. entfernt W32/Polip, säubert infiz. Files),
  • RootkitRevealer (spürt Rootkits auf von Sysinternals bzw. Microsoft),
  • Spybot – S&D (Inst., sucht u. entfernt Ad- sowie Spyware, immunisiert PC),
  • Spybot – S&D Detection Updates (Malware-Signaturen für Spybot aus Internet),
  • Tool zum Entfernen bösartiger Software (sucht und entfernt Trojaner und Rootkits)

Neben Säuberungstools und Malwarescanner liefert c’t-Helper noch mehrere Analysewerkzeuge. Die Tool-Sammlung ist ein Muss für jeden sysadmin.

Desinfec’t 2011 (***)

Desinfec’t 2011 liegt der c’t-Ausgabe 8/11 bei, die seit dem 26. März 2011 im Handel verfügbar ist und verwendet nun eine Ubuntu-10.10-Live-CD (gute Hardware-Unterstützung) als Unterbau. Die Live-CD wird von der c’t-Redaktion als Heftbeigabe zu regulären c’t-Ausgaben wie auch zu c’t-Sonderheften herausgegeben und in regelmäßigen Abständen aktualisiert. Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD bietet neben der Standard-Startoption auch die Startoptionen im Failsafe-Modus (Problemhardware) und alternative Grafiktreibern (z.B. auch Standard-VESA Grafiktreiber).

Die Live-CD bietet in der 2011er Version sogar vier Virenscanner zur Auswahl:

  • Avira AntiVir 1.9.152.0
  • BitDefender AntiVirus AVCORE v2.1 11.0.0.26
  • Kaspersky Anti-Virus 5.7.20
  • ClamAV
  • Firefox Browser 3.6.15
  • Tool zum Zurücksetzen von Windows XP/Vista/7-Passwörtern (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • dc3dd – unwiderrufliches Löschen der Festplatte
  • ddrescue – Partitionen und Festplatten klonen
  • PhotoRec
  • GParted 0.6.2
  • GNOME 2.32.0, Portscanner, Terminal

Wie schon bei den Vorgängerversionen gibt es auch bei dieser Desinfec’t Live-CD eine Möglichkeit die aktuellen Virensignaturen auf einem USB-Stick abzulegen. Allerdings gibt es keinen Updater mehr auf der Live-CD sondern nach dem Booten der Live-CD gibt es im Ordner Expertentools die Option „Virensignaturen auf USB-Stick kopieren“. Voraussetzung ist allerdings, dass die ETH/WLAN-Erkennung funktioniert, was beim Ubuntu-Unterbau zu erwarten ist. Der Update muss gleich nach dem Booten der Live-CD durchgeführt werden, da nach einem Scan die Funktion nicht mehr korrekt arbeitet. Nach Auswahl der Option wird auf einem mind. 1 GB großen USB-Stick ein Verzeichnis /desinfect angelegt.

Es ist bei dieser Distribution zu empfehlen zuerst die Maus zu bändigen bevor weitere Aktivitäten stattfinden. Über System/Einstellungen/Maus ist die Bewegungsfreiheit der Maus eingrenzbar.

Im nächsten Schritt sollte die Netzwerkkonfiguration (oben rechts) durchgeführt werden. Ein ETH-Kabel ist hilfreich; die WLAN-Erkennung funktioniert genauso gut auch bei neuerer Hardware (Core i3, etc.).

Nun das Icon „Desinfec’t starten“ doppelklicken und das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden PCs wird autom. vorgenommen. Bei Auswahl „FAT- und NTFS Partition autom. einbinden“ werden die Patitionen der Festplatte im Nur-Lesen-Modus ins Ubuntu Dateisystem eingehängt (gemountet). Bei Auswahl der Alternative „Laufwerke jetzt manuell einbinden“ werden die Partitionen schreibbar gemountet. Im letzten Schritt können ein oder mehrere Virenscanner ausgewählt werden.

Suchmodus (abh. vom Virenscanner): intelligent (ausführbare Dateien, Treiber, DLLs, etc.) oder vollständige Suche, Auswahl von Unterverzeichnissen, mit/ohne Archive, etc.

Desinfektionsmodus (abh. vom Virenscanner): Test (Daten bleiben unverändert), Quarantäne (verschiebt erkannte Viren nach \infected), Löschen.

Nach Abschluß der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Angeschlossene USB-Sticks werden von der Live-CD erkannt und autom. gemountet.

Download der Vorgängerversion: Knoppicillin 6.0.2

Als experimentelle Zusatzfunktion integriert Desinfec’t erstmals die Option, das System bootfähig auf ein USB-Stick zu übertragen.

(***) Klare Empfehlung für Virenscan per Live-CD: Vierfacher Virenscan bei guter Hardware-Unterstützung mit WLAN-Integration.