Der Fall der Fälle

Der Fall der Fälle

Nicht nur der Computerableger einer großen deutschen Boulevardzeitung gibt ihren Lesern gerne Tipps, wie man ein infiziertes System säubern kann. Selbst im Falle eines noch so datenhungrigen Trojaners belächelt man in Redaktionskreisen jeden noch so gut gemeinten Hinweis, doch bitte das System neu aufzusetzen und umnebelt den geneigten Anwender stattdessen lieber mit Tipps, wie man mit beliebigen Sicherheitswerkzeugen die Reinigung anzugehen hat.

Um es direkt und klar zu sagen : Sie können ein einmal erfolgreich angegriffenes System nicht einfach "säubern", egal, was Sie auch anstellen, um dies zu bewerkstelligen. Dieser Artikel zeigt Ihnen, warum es für die Säuberung eines kompromittierten Systems im Grunde nur einen Ausweg gibt.

Merken Sie sich bitte unsere "Regel Nummer 1" : alles könnte manipuliert sein.

Zunächst das Wichtigste : wenn Sie Benutzer eines Windows XP, Vista oder Windows 7 sind, installieren Sie auf jeden Fall regelmäßig die von Microsoft bereitgestellten Aktualisierungen (Patches). Diese Aktualisierungen werden von Microsoft veröffentlicht, um entdeckte Sicherheitslücken zu schließen. Werden diese auf Dauer nicht geschlossen, können sie leicht das Einfallstor für Schadsoftware werden.

Ist ein System erst einmal erfolgreich angegriffen worden, können Sie es allerdings nicht durch Installation der Sicherheitsupdates säubern. Die von Microsoft bereitgestellten Patches beheben lediglich die Ursache des Angriffs, nicht jedoch dessen Folgen.
Ist ein Angreifer nämlich erst einmal in ein System eingedrungen, wird er sicherstellen, dass er auch in Zukunft wieder in das System kommt, gleichgültig, ob in der Zwischenzeit die ausgenutzte Sicherheitslücke geschlossen wurde oder nicht.

Viele Schadprogramme bringen heutzutage eine Backdoorfunktion mit, können also eine Hintertür einbauen. Allerdings kann ein angegriffenes System nicht einfach durch Löschen dieser Hintertür gesäubert werden. Sie können niemals sicherstellen, dass Sie wirklich alle Hintertüren oder alle Komponenten der einen Hintertür gefunden haben, die sich auf Ihrem System befinden. Nur, weil Sie auf Ihrem System nichts mehr finden, heißt das nicht, dass es nichts mehr zu finden gibt. Wenn Sie überhaupt wissen, wonach sie wo zu suchen haben und wenn der Angreifer zulässt, dass Sie überhaupt fündig werden können.
Hier greift unsere Regel Nummer 1.

Wenn Sie sich einen Schädling erst einmal eingefangen haben, versuchen Sie diesen nicht durch ein sogenanntes Removal-Tool zu entfernen. Sie können Ihrem System in einem solchen Falle ohnehin nicht mehr vertrauen. Denn letzten Endes wird das Removal Tool auf Ihrem System laufen, auf dem System, welches einen aktiven Schädling beherbergt, der im Idealfall Administrator-Rechte besitzt und somit jedes beliebige Programm manipulieren kann, sofern er über solche Funktionen verfügt.
Wenn ein Schadprogramm es geschafft hat, durch Ausnutzen einer Sicherheitslücke auf Ihren Computer zu gelangen, dann war der Computer auch für Attacken anderer Art anfällig. Niemand kann dafür garantieren, dass nicht noch mindestens eine weitere Attacke gegen Ihren Computer unternommen wurde, von der Sie vielleicht nichts gemerkt haben.

Bleibt Ihnen noch Ihr installiertes Antivirenprogramm, sofern Sie eines haben. Nun könnten Sie versuchen, den eingedrungenen Schädling mit diesem zu entfernen. Bedenken Sie jedoch, dass Sie im Falle einer Infektion gleich zwei Probleme haben:
  • Ein Antivirenprogramm kann nur diejenigen Viren zuverlässig finden, für die es die so genannten Signaturen besitzt, deren Struktur es also kennt. Hat das Schadprogramm weitere Komponenten nachgeladen, kann es sein, dass diese für Ihr Antivirenprogramm unbekannt sind.
  • Bedenken Sie auch, dass sowohl das eingedrungene Schadprogramm als auch Ihr Antivirenprogramm nichts weiter sind als Computerprogramme, die auf Ihrem Computer mit den gleichen Rechten ausgeführt werden. Wenn dies Administratorrechte sind, ist das Antivirenprogramm im Zweifel chancenlos.
Auch ein Virenscanner besteht aus Dateien, die im schlimmsten Falle auf dem infizierten Computer lagern. Sie können also wie alle Bestandteile des Systems manipuliert sein. Diverse Schadprogramme versuchen, Antivirenprogramme abzuschalten. Im besten Falle besitzt der Schädling eine Funktion, um das Antivirenprogramm anderweitig zu täuschen.
Außerdem muß sich ein Antivirenprogramm ab einem bestimmten Zeitpunkt darauf verlassen können, vom zu untersuchenden System authentische Daten zu bekommen. Und wie bereits erwähnt kann solch ein Programm getäuscht werden.

Wir nähern uns langsam der einzigen Methode, die Ihnen ein vertrauenswürdiges System wiedergeben kann : die Neuinstallation. Wenn Sie sich schließlich mit dieser einzig wirkungsvollen Methode angefreundet haben, tun Sie sich bitte den Gefallen und installieren Sie nicht über das alte System drüber. Niemand kann Ihnen garantieren, dass der Angreifer nicht einen Mechanismus eingebaut hat, der das Installationsprogramm täuscht oder manipuliert. Im Zweifel behalten Sie dann die Auswirkungen des Angriffs auf Ihrem System.

Bevor Sie also das Betriebssystem installieren, formatieren Sie die Festplatte(n) und partitionieren Sie sie erneut. Normalerweise wird das Installationsprogramm danach fragen.
Sorgen Sie nach der Installation dafür, dass Sie alle verfügbaren Sicherheitsaktualisierungen installieren.