Tools zum Erkennen eines Virenbefalls ohne Virenscanner?

04/02/2013 - 15:00 von Thorsten Albrecht | Report spam
Hallo,

in Ergànzung zum letzten Megathread zum Thema "Braucht man einen
Virenscanner oder nicht" (genauer: "Windows und die Virenscanner")
würde ich gerne Eure Methoden erfahren, wie (schnell) Ihr im Fall
eines Falles einen Virenbefall OHNE Virenscanner erkennen würdet.
Meine Bitte an Euch vorweg: Lasst diesen Thread bitte nicht wieder zur
Grundsatzdiskussion ausarten, ob man Virenscanner oder Safer-Konzepte
oder was weiss ich benötigt. Hier geht es um den Fall des Falles, d.h.
wenn das Kind bereits in den Brunnen gefallen ist, aber man dieses
auch zeitig bemerken möchte.

Hintergrund meiner Frage ist ein aktueller Anlass:
Ich habe mir gerade beim Recherchieren von technischen Informationen
durch einen unverfànglichen Google-Link auf ein Forum mit meinem
Browser Opera 12.2 einen "Drive-by-download" (ich glaube, so nennt
man das) eines Schàdlings zugezogen. Evtl. hat der Schàdling eine
Lücke im Browser ausgenutzt (aktuell ist 12.13); der Rest vom Win7 x64
inkl. Flash ist topaktuell. Das Forum war nicht verdàchtig, unlautere
Inhalte anzubieten.

Erkannt habe ich den Schàdling dadurch, dass er sich versucht hat, in
den Autostart einzutragen. Ich hàtte möglicherweise durch ein etwas
merkwürdiges Popup-Fenster im Browser (beim Forenbesuch) auf die
Gefahr eines Befalls aufmerksam werden müssen. Vmtl. habe ich es
versucht, das Popup zu schließen und dabei ist es wohl passiert. Ein
Download ist im Browser-Protokoll nicht zu sehen. Keine Ahnung, wer
den Prozess des Schàdlings gestartet hat.

Da bei mir allerdings im Hintergrund ein Tool namens "Startup Monitor"
làuft, welches mir sofort meldet, falls sich ein Schàdling in den
Autostart eintragen möchte, war die Sàuberung kein Problem. In diesem
Fall meldete der Monitor:

"The program Akhuso has registered the executable
C:\users\thorsten\AppData\Roaming\Vosaby\suol.exe"

Insofern war die manuelle Desinfektion leicht: ProcessExplorer als
Admin starten, Prozess suol.exe killen und Datei löschen. Ok.

Ohne den Startup Monitor (http://www.mlin.net/StartupMonitor.shtml)
hàtte ich allerdings rein nichts bemerkt. Offenbar nützt ein permanent
aktuell gehaltenes System i.V.m. Brain 1.0 nicht immer.

Daher meine Frage an Euch:

Kennt ihr - außer Virenscannern und Startup Monitor - noch andere
Tools, die einem anzeigen, dass etwas Unvorhergesehenes passiert
(ist)? Ich kenne nur noch ThreatFire. Und wie schnell würdet Ihr mit
Euren verschiedensten Methoden (z.B. Prüfsummen) bemerken, dass sich
etwas versucht, in den Autostart einzutragen bzw. dass es sich bereits
eingetragen hat? Man guckt ja nicht tàglich seine Autostarteintràge
an.

Kurz: Wie bemerkt Ihr einen Befall ohne installierten Virenscanner?

Thorsten
 

Lesen sie die antworten

#1 Uwe Buschhorn
04/02/2013 - 16:20 | Warnen spam
Thorsten Albrecht schrieb:

Kurz: Wie bemerkt Ihr einen Befall ohne installierten Virenscanner?



Ich bin zwar nicht der Super-Ansprechpartner weil mir in 8 Jahren XP mit
Hilfe von brain.exe bisher nur ein Trojaner durchgegangen ist. Und der hat
sich so selten dàmlich verhalten, daß man es einfach merkt. Der hat z.B.
die CPU-Last hochgezogen. Andere Malware könnte man am stàndigen Traffic
erkennen. Sehr sicher am Router selbst, der ist ja unabhàngig vom PC. Man
muss es ein bisschen riechen lernen, wie ein Auto, das komische Geràusche
macht :)

Das ist AFAIK auch der Hauptvorteil der Schadsoftware für Windows. Die
meisten Sachen sind so grottenschlecht programmiert, daß einem der Kram in
die Augen springt. Nur, was machst Du dann? Dein OS ist kompromittiert und
Du darfst neu aufsetzen oder Backup einspielen. Also - AV-Software soll ja
vor einer Infektion schützen. Und somit vor viel Arbeit, die man sonst hàtte.

Grüße,

Uwe Buschhorn

Ähnliche fragen