Eine Infektion erkennen

Eine Infektion erkennen

Der Idealfall ist natürlich: Ihr Antivirenprogramm macht Sie darauf aufmerksam, dass Sie einen ungebetenen Gast auf Ihrem Computer haben. Aber moderne Schadprogramme versuchen auf immer effizienteren Wegen ihr Vorhandensein zu verbergen. Insbesondere Trojanische Pferde sind dazu gedacht, unbemerkt ihr Werk zu verrichten. So kann es vorkommen, dass Sie im Zweifel nicht einmal bemerken, dass Sie Opfer eines Wurms geworden sind.

Dennoch gibt es einige Anzeichen, die eine Infektion mit sich bringen kann.

Der Computer arbeitet langsamer
Ein Programm, was auf einem Computer ausgeführt wird, verbraucht Speicher und nimmt auch den Prozessor in Anspruch, verbraucht also Ressourcen. Ein Schadprogramm ist letztlich auch nur ein Programm, welches auf dem infizierten Computer ausgeführt wird. Und je intensiver das Programm arbeitet, desto mehr dieser Ressourcen benötigt es.
Manche Schadprogramme machen dadurch auf sich aufmerksam, dass sie große Teile der Leistung des Computers für sich beanspruchen, da sie unentwegt ihre Schadensfunktionen ausführen, wie etwa den Versand von Werbeemails oder Kopien von sich selbst an andere Computer. Und je leistungsschwächer der Computer ist, desto eher fällt dies auf. Werden Sie also mißtrauisch, wenn Ihr PC plötzlich merklich langsamer reagiert als vorher.

Die Verbindung zum Internet wird langsamer
Insbesondere im Falle von Würmern, die sich allein über Netzwerkverbindungen verbreiten, kann eine Internetverbindung aufgrund der zahlreichen Verbindungsversuche des Schadprogramms deutlich langsamer werden. Ebenso kann die Geschwindigkeit beeinträchtigt sein, wenn der Wurm versucht, große Mengen von EMails zu versenden, entweder in Form von unerwünschten Werbeemails ("Spam") oder um sich selbst mit diesen zu verbreiten.

Der Computer arbeitet insgesamt instabiler
Damit ein Computer stabil läuft, müssen mindestens drei Dinge zueinander passen : die Hardware, das Betriebssystem und die Anwendungssoftware. Ist nur eines dieser Teile fehlerhaft, kann es zu Instabilitäten kommen.
Auch Schadsoftware ist "nur" Software, die entweder selbst Fehler beinhalten kann und somit ein System instabil werden lässt, oder die Fehler erzeugt und damit das System beeinträchtigt. Die Symptome können dann das Abstürzen von einzelnen Anwendungen oder des gesamten Betriebssystems sein. Umgekehrt jedoch ist selbstverständlich bei weitem nicht jeder Absturz und jede Fehlfunktion einem Schädling zuzuschreiben.

Der Bildschirmhintergund verändert sich
Sehr viele Benutzer haben ein eigenes Hintergundbild auf ihrem Computer eingerichtet. Eine plötzliche Veränderung fällt hier natürlich sofort auf. Dennoch gibt es Schädlinge, die genau dies tun.



Dem Benutzer kann dabei eine gefälschte Warnmeldung wie im oben gezeigten Beispiel in Form eines Hintergrundbildes angezeigt werden, sein Computer wäre mit Spionagesoftware infiziert. Im gleichen Zug wird der Benutzer aufgefordert, eine kostenpflichtige Software zur Entfernung zu benutzen.

Beliebige Texte tauchen plötzlich auf
Ob als Nachricht auf dem Bildschirmhintergund, als Pop-Up- oder Meldungsfenster oder auch als eingestreuter Text in Word-Dokumenten. Manche Schädlinge fügen an bestimmten Stellen Texte ein. Sehr beliebt war es in der Vergangenheit, in infizierten Word-Dokumenten bestimmte Worte auszutauschen oder Text an das Ende des Dokuments anzuhängen.

Gefälschte Virenfunde werden angezeigt
Manche Schädlinge erzeugen gefälschte Meldungen, die dem Benutzer vorgaukeln, ein gefährliches Schadprogramm hätte den Computer befallen und ist nur durch ein spezielles Antivirenprogramm zu entfernen, welches der Benutzer kaufen soll. Stets enthalten die Meldungen freundlicherweise einen Verweis auf die entsprechende Webseite.

Antivirenprogramme lassen sich nicht mehr aktualisieren
Wenn es etwas gibt, was die meisten Programmierer von Schadsoftware vermeiden wollen, ist es die Entdeckung ihrer Werke, wenn diese einen Anwenderrechner befallen haben. Sehr neue Schadprogramme können meist von den Antivirenprogrammen nicht oder nicht zuverlässig entdeckt werden, weil diesen Werkzeugen die entsprechenden Signaturen fehlen, also spezifische Daten über eine Schadsoftware, um diese erkennen und identifizieren zu können. Folgerichtig besitzen diverse Schadprogramme die Möglichkeit, durch Verändern von Systemeinstellungen die Aktualisierung von Antivirenprogrammen über das Internet zu verhindern, indem diese Programme die entsprechenden Computer der Hersteller nicht mehr kontaktieren können. In der Folge werden keine neuen Signaturen mehr bezogen und der Schädling bleibt im besten Fall unerkannt auf dem Anwendercomputer.

Hersteller-Webseiten können nicht mehr aufgerufen werden
Ein Phänomen, welches recht häufig bei einer ernsthaften Infektion zu beobachten ist und direkt mit dem vorherigen Punkt zusammenhängt. Da die Hersteller von Antivirenprogrammen meist die Möglichkeit anbieten, die neuesten Programmaktualisierungen nicht nur automatisch, sondern auch manuell über deren Webseite zu beziehen, verhindern viele Schadprogramme durch Veränderungen in den Systemeinstellungen den Zugriff auf diese Webseiten. Der gewünschte Effekt ist hier ebenso zu verhindern, dass der Anwender sein Antivirenprogramm aktualisieren und somit eventuell den Eindringling entdecken kann.
Diese "Sperrung" von Webseiten betrifft meist nicht nur die Webseiten der Hersteller von Antivirenprogrammen. Auch das Windows-Update von Microsoft ist dann meist nicht erreichbar.

Bestimmte Programme sind plötzlich abgeschaltet
Sehr viele Schadprogramme verfügen mittlerweile über die Fähigkeit, auf Anwendercomputern installierte Sicherheitssoftware einfach abzuschalten. Dabei kommt den Schädlingen der Umstand zu Hilfe, dass die überwiegende Anzahl der Benutzer mit Administratorrechten arbeitet, also im Prinzip alles darf. In diesem Falle hat auch die Schadsoftware diese Rechte und kann nach Belieben Personal Firewalls und Antivirenprogramme abschalten. Meist bleibt dabei das kleine Programmsymbol in der unteren Bildschirmleiste (neben der Zeitanzeige) bestehen und verschwindet erst dann, wenn der Benutzer mit dem Mauszeiger darüberfährt.

Auf Daten kann nicht mehr zugegriffen werden
Ein recht deutliches Symptom ist eine Zugriffsverweigerung auf bestimmte Dateien oder Ordner. Seltener wurde über eine Zugriffsverweigerung auf ein ganzes Laufwerk berichtet. Dies kann, muß aber nicht auf Schädlingsbefall hindeuten. Manchmal ist auch ein recht simples Rechteproblem dafür verantwortlich, dass nicht mehr auf bestimmte Daten zugegriffen werden kann.

Systemdienste werden mit einem Fehler beendet
Besonders der Wurm "Sasser" zeigte sein Vorhandensein ziemlich deutlich an.



Durch einen Fehler in der Programmierung verursachte der Wurm, der durch eine Sicherheitslücke im Dienst "LSASS" in Windows XP-Systeme eindringt, einen Fehler in eben diesem Dienst. Dies führte dazu, dass der Computer den oben gezeigten Dialog anzeigte, nach 60 Sekunden herunterfuhr und neu startete. Wurde dann eine Verbindung zum Internet hergestellt, dauerte es im Mittel etwa 20 Minuten, bis diese Meldung erneut auftrat.

Ein ähnliches Verhalten zeigte übrigens auch der Wurm "Blaster" und einige Mitglieder der Agobot-Familie. Diese führten ebenfalls zu einem Fehler und zeigen dann einen ähnlichen Dialog. Allerdings wird dann ein Fehler im Dienst "Remoteprozeduraufruf" gemeldet und nicht im Dienst "LSASS".

Wenn Sie eines dieser Symptome bei Ihrem Computer feststellen, sollten Sie aufmerksam werden. Leider äußern nicht viele Schädlinge ihr Vorhandensein so deutlich. Dennoch machen sie auf sich aufmerksam, wenn man nur genau hinschaut.