Viren, Würmer und Trojaner
Viren, Würmer und Trojaner
Viren, Würmer und Trojaner
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong><br />
<strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Inhaltsverzeichnis<br />
1. Zweck <strong>und</strong> allgemeine Hinweise .............................................................................. 3<br />
2. <strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong>, was ist das? .............................................................. 4<br />
3. Sicherheit des PCs überdenken ............................................................................... 6<br />
4. Schutz des Systems vor Schadprogrammen .......................................................... 7<br />
4.1. Auswahl des Schutzprogrammes ...................................................................................................................... 8<br />
4.2. Installiertes Schutzprogramm testen ................................................................................................................ 9<br />
5. Was tun bei <strong>Viren</strong>befall? ......................................................................................... 12<br />
5.1. Windows Defender Offline .............................................................................................................................. 13<br />
5.2. Avira AntiVir Rescue System .......................................................................................................................... 19<br />
5.3. Kaspersky Rescue Disk 10 ............................................................................................................................... 24<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 2(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
1. Zweck <strong>und</strong> allgemeine Hinweise<br />
Mit der Einführung der Computer <strong>und</strong> vor allem der PCs (Personal Computer) sowie des<br />
Internets wurden Computerviren für jeden Benutzer schnell zum Problem. Hatte doch fast<br />
jeder schon einmal das Gefühl, mein Computer „spinnt“. Oft arbeitet der PC nicht mehr so,<br />
wie es von ihm erwartet wird. Manchmal muss der Benutzer sehr lange auf eine Reaktion<br />
des Computers warten. Da kommt sehr schnell die Vermutung auf, der PC hat einen Virus!<br />
Es ist daher wichtig, dass der Benutzer zumindest die Gr<strong>und</strong>lagen zu diesem überaus brisanten<br />
Thema kennt. Diese Beschreibung spricht deshalb folgende Themen an:<br />
Welche unterschiedlichen Arten von Computerviren existieren.<br />
Welchen Schaden können sie anrichten <strong>und</strong> wie erkenne ich <strong>Viren</strong>.<br />
Welche Methoden zum Schutz gegen <strong>Viren</strong> existieren.<br />
Was kann im Falle eines <strong>Viren</strong>befalls unternommen werden.<br />
Die Dokumentation ist dabei nicht als detaillierte Beschreibung gedacht, sondern stellt lediglich<br />
Basisinformationen, Hinweise <strong>und</strong> einige Tipps für den Benutzer zur Verfügung.<br />
Der Inhalt erhebt jedoch keinerlei Anspruch auf Vollständigkeit!<br />
Für die Vollständigkeit <strong>und</strong> Korrektheit der Ausführungen wird auch keinerlei Garantie<br />
übernommen. Im Zweifelsfall wird empfohlen mittels der Begriffe<br />
Computer, Virus, Wurm, <strong>Trojaner</strong><br />
im Internet nach aktuellen Informationen <strong>und</strong> Programmen zu suchen.<br />
Für die Erstellung dieser Beschreibung wurden einschlägige Quellen zu Hilfe gezogen, die<br />
sich intensiv mit dem Thema <strong>Viren</strong> beschäftigen. Es sind dies beispielsweise:<br />
http://de.wikipedia.org<br />
http://www.trojaner-info.de<br />
https://www.datenschutzzentrum.de<br />
http://www.microsoft.com/de-de/security<br />
http://www.computec.ch/download.php?list.14<br />
http://www.uibk.ac.at/zid/security/schadprog.html<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 3(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
2. <strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong>, was ist das?<br />
Ein Virus oder genauer gesagt ein Computervirus, ein Computerwurm <strong>und</strong> ein <strong>Trojaner</strong> ist<br />
ein Programm, das mehr oder weniger großen Schaden auf dem PC anrichten kann.<br />
Die Schadprogramme verbreiten sich in der Regel durch den Datenaustausch im Internet<br />
(Download, E-Mail, aktive Webseiten) oder über erworbene oder zur Verfügung gestellte<br />
Datenträger unbekannter Herkunft wie beispielsweise CDs, DVDs, Disketten, Sticks.<br />
Diese Schadprogramme unterscheiden sich in erster Linie durch die Art <strong>und</strong> Weise ihrer<br />
„Fortpflanzung“, also der Methode wie sie auf den Computer gelangen <strong>und</strong> wie sie weiterverbreitet<br />
werden. Danach unterscheidet man folgende Schädlinge:<br />
<strong>Viren</strong><br />
Diese Art von Schadprogramm wird über eine infizierte Datei auf den PC gebracht.<br />
Die Infizierung des eigenen Computers erfolgt durch den Benutzer selbst. Der Virus<br />
kann sich innerhalb des Computers beliebig verbreiten. Für die Infizierung anderer<br />
PCs benötigt er jedoch wieder den Benutzer.<br />
<strong>Würmer</strong><br />
<strong>Würmer</strong> sind technisch gesehen <strong>Viren</strong> mit erweiterten Fähigkeiten. Sie verbreiten<br />
sich selbstständig über das Heim- oder Firmennetz <strong>und</strong> vor allem durch das Internet,<br />
sehr häufig mittels E-Mail. Auf Gr<strong>und</strong> der Verbreitungsmöglichkeit treten sie<br />
weitaus häufiger als <strong>Viren</strong> auf <strong>und</strong> sind in der Regel weitaus aggressiver.<br />
<strong>Trojaner</strong><br />
Damit <strong>Trojaner</strong> auf den Computer gelangen können, tarnen sie sich oft als nützliche<br />
Programme. Die Infizierung des PCs erfolgt in der Regel durch den Benutzer selbst.<br />
Der Benutzer glaubt häufig, er habe eine gute <strong>und</strong> vor allem kostenlose oder billige<br />
Software in Internet gef<strong>und</strong>en. In Wirklichkeit befinden sich in den vermeintlich nützlichen<br />
Programmen gut getarnte Schädlinge.<br />
Die Schadprogramme unterscheiden sich des Weiteren durch das Objekt, in welches sie<br />
sich „einnisten“. Im Folgenden eine kurze Auflistung der Wichtigsten:<br />
Bootvieren<br />
Infizieren den Bootsektor oder Master Boot Record von Festplatten <strong>und</strong> Disketten.<br />
Dateiviren<br />
Infizieren ausführbare Dateien <strong>und</strong> Programm-Bibliotheken.<br />
Makroviren<br />
Infizieren Makros, welche in beispielsweise Office-Dokumenten eingebettet sind.<br />
Skriptviren<br />
Ein Skript ist eine Sammlung von Kommandos in Textform, das durch einen so genannten<br />
Interpreter abgearbeitet wird.<br />
Viele Schadprogramme können den beschriebenen Kategorien nicht eindeutig zugeordnet<br />
werden. Sie können sich als Virus oder Wurm verbreiten <strong>und</strong> in eine Datei oder ein Makro<br />
einnisten. Daher wird dieser Schadenstyp als hybrides Schadprogramm bezeichnet.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 4(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Der durch die Schadprogramme, auch als Malware bezeichnet, angestellte Schaden kann<br />
sehr unterschiedlich sein. Einige Beispiele dafür sind:<br />
Betrügerische Einwahlsoftware (Dialer)<br />
Diese relativ „alte“ Art von Schädling ändert den Einwahlvorgang des Modem- oder<br />
ISDN-Zugangs so, dass kostenpflichtige Nummern gewählt werden, sodass dem<br />
Benutzer sehr hohe Kosten entstehen.<br />
Zusätzliche Fenster beim Surfen (Popups)<br />
Einige <strong>Trojaner</strong> sorgen dafür, dass beim Surfen im Internet häufig zusätzliche Fenster<br />
mit Werbeinhalten, beispielweise Pornoseiten, geöffnet werden. Dies erhöht die<br />
beim Surfen benötigte Zeit erheblich <strong>und</strong> ist darüber hinaus sehr störend.<br />
Spionage-Software (Spyware)<br />
Spyware ist eine Zusammensetzung aus „spy“, dem englischen Wort für Spion, <strong>und</strong><br />
„ware“, die Endung von Software. Diese Schadprogramme werden oft dazu verwendet<br />
um persönliche Daten zu sammeln <strong>und</strong> weiterzugeben. Beispielweise werden<br />
Passwörter, Kontennummern, Kreditkartennummern, gespeicherte E-Mail-<br />
Adressen oder Benutzergewohnheiten (besuchte Webseiten) an Dritte übermittelt.<br />
Hintertür-Programme<br />
Dieser Schädling erlaubt fremden Benutzern den direkten Zugriff auf den Computer,<br />
sehr häufig sogar den direkten Fernzugriff. Unvorsichtige PC-Benutzer werden so<br />
unfreiwillig zum Massenversender von Werbemails.<br />
Betrügerische E-Mails (Phishing)<br />
Unter Phishing (Kunstwort in Anlehnung an das englische Wort „fishing“) werden<br />
Versuche verstanden, über gefälschte Web-Adressen, E-Mails oder Kurznachrichten<br />
an geheime Daten des Benutzer zu gelangen <strong>und</strong> damit beispielweise eine<br />
Kontoplünderung durchzuführen. Diese Art der Schädigung stellt zwar kein Schadprogramm<br />
dar, ist aber weitaus gefährlicher.<br />
Falschmeldungen<br />
Auch diese Art stellt kein Schadprogramm dar. Die angebliche Falschmeldung informiert<br />
beispielweise über ein Schadprogramm auf dem PC <strong>und</strong> empfiehlt die Installation<br />
eines „Schutzprogrammes“. Eine andere Nachricht meldet beispielsweise<br />
einen kostenpflichtigen Zugriff auf einen Dienst im Web <strong>und</strong> fordert zur Zahlung eines<br />
bestimmten Betrages auf. Eine weitere Art fordert den Benutzer zur Weiterleitung<br />
der E-Mail auf <strong>und</strong> „müllt“ so andere Email-Postfächer zu. Wie man sieht, der<br />
Fantasie sind keine Grenzen gesetzt.<br />
Viele Benutzer von Computern sind der Meinung, dass Ihr PC viel zu unwichtig ist, um von<br />
<strong>Viren</strong>, <strong>Würmer</strong>n oder <strong>Trojaner</strong>n befallen zu werden. Damit täuschen sich viele <strong>und</strong> dies<br />
zeigt die steigende Zahl von Computerangriffen der letzten Jahre. Oft werden befallene<br />
Computer nicht direkt geschädigt, sondern dazu verwendet, um andere Computer im internationalen<br />
Netz anzugreifen <strong>und</strong> ihn zu schädigen.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 5(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
3. Sicherheit des PCs überdenken<br />
Bei all den vorherigen Ausführungen wird klar, dass kein Computer ohne Schutz laufen<br />
sollte. Ein entsprechendes <strong>Viren</strong>schutzprogramm ist das Eine, es gibt jedoch eine ganze<br />
Reihe von Punkten, welche die PC-Sicherheit verbessern. Im Folgenden einige davon:<br />
Benutzerkennung ohne administrative Rechte verwenden<br />
Unter jedem Betriebssystem gibt es Benutzer mit oder ohne besondere administrative<br />
Rechte. Unter Windows neigen viele Benutzer dazu, der eigenen Benutzerkennung<br />
administrative Rechte zu geben, d.h. sie können alles auf dem Computer verändern.<br />
Dies ist gr<strong>und</strong>sätzlich falsch. Als „Administrator“ sollte wirklich nur gearbeitet<br />
werden, wenn es unbedingt nötig ist!<br />
Sicheres Passwort verwenden<br />
Für die eigene Benutzerkennung <strong>und</strong> die des „Administrators“ sollte ein sicheres<br />
Passwort definiert werden. Dies bedeutet:<br />
o Das Passwort darf in keinem Wörterbuch stehen.<br />
o Es darf keinen Bezug zur Benutzerkennung haben.<br />
o Es darf keinen Bezug zur eigenen oder einer verwandten Person haben.<br />
o Es sollte mindestens 6 Buchstaben, Ziffern <strong>und</strong> Sonderzeichen haben.<br />
o Es sollte einfach zu merken <strong>und</strong> schnell einzugeben sein.<br />
Rechner bei Nichtbenutzung ausschalten<br />
Immer wenn der Computer längere Zeit nicht benötigt wird, sollte er ausgeschaltet<br />
werden. Länger laufende PCs sind für Angreifer weitaus attraktiver.<br />
Updates regelmäßig installieren<br />
Dies ist ein wichtiges Indiz für die Sicherheit des Systems. Jedes fehlende Sicherheitsupdate<br />
führt zur Verw<strong>und</strong>barkeit <strong>und</strong> damit langfristig zum <strong>Viren</strong>befall.<br />
Bei Zugriff auf das Web vorsichtig sein<br />
Die Hauptquelle Schadprogramme sind Webseiten. Viele Seiten versprechen beispielsweise<br />
Gewinne. Glauben sie nicht daran, denn wer verschenkt schon Geld?<br />
Nehmen sie das Angebot auf keinen Fall an <strong>und</strong> meiden sie derartige Seiten.<br />
Öffnen unbekannter Dateien vermeiden<br />
Bezieht man Dateien über E-Mail, Web-Seiten oder mittels Datenträger, sollten sie<br />
vor der Verwendung mittels <strong>Viren</strong>scanner geprüft werden.<br />
Sichere Verbindungen bei E-Mail <strong>und</strong> im Web bevorzugen<br />
Sowohl bei E-Mail- als auch bei Web-Zugriffen sind sichere Verbindungen zu bevorzugen.<br />
Bei E-Mail kann der Empfang (POP) <strong>und</strong> der Versand (SMTP) mittels<br />
SSL-Protokoll erfolgen. Beim Web-Zugriff ist „https://“ zu bevorzugen.<br />
System über eine Firewall absichern<br />
Für ein gut abgesichertes Betriebssystem ist eine Firewall unumgänglich. Beispielsweise<br />
ist Windows 7 standardmäßig durch ein solches geschützt.<br />
Datensicherung<br />
Man kann noch so vorsichtig sein, irgendwann fängt man sich doch einen Virus ein.<br />
Durch regelmäßiges Sichern der Daten sollte man darauf vorbereitet sein!<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 6(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
4. Schutz des Systems vor Schadprogrammen<br />
Die beste Möglichkeit, sich vor ungewünschten Schadprogrammen zu schützen, ist die<br />
Installation eines <strong>Viren</strong>schutz-Programmes.<br />
Ein solches Schutzprogramm, auch Antivirenprogramm oder <strong>Viren</strong>scanner genannt,<br />
untersucht vor jedem Datei-, E-Mail- oder Internet-Zugriff des Systems, ob es sich um ein<br />
Schadprogramm handelt. Entdeckt der <strong>Viren</strong>scanner einen Schädling, verhindert es den<br />
Zugriff, sodass der Virus nicht gestartet werden kann. Des Weiteren versucht der Scanner<br />
den Virus aus der entsprechenden Datei zu entfernen, was sehr häufig nicht gelingt. In<br />
diesem Fall isolieren gute <strong>Viren</strong>scanner die Datei, sodass sie keinen Schaden mehr anrichten<br />
kann.<br />
Der <strong>Viren</strong>scanner kann vom Benutzer auch explizit aufgerufen werden, um eine Datei zu<br />
überprüfen. Von dieser Möglichkeit sollte man vor jeder Verwendung eines Datenträgers<br />
unbekannter Herkunft Gebrauch machen. Auch wenn man den Datenträger von einem<br />
Bekannten erhalten hat, ist deren Ursprung trotzdem unbekannt! Zu eigenen Sicherheit<br />
wird empfohlen, regelmäßig einen kompletten Scan aller Festplatten durchzuführen.<br />
Für das Erkennen von Schadprogrammen verwendet die einschlägigen Schutzprogramme<br />
eine <strong>Viren</strong>-Definitionsdatei mit so genannten <strong>Viren</strong>-Prints oder <strong>Viren</strong>-Signaturen. Dies ist<br />
eine Datei, in welcher der <strong>Viren</strong>scanner die Symptome eines Schädlings nachlesen kann.<br />
Die Schutzwirkung des <strong>Viren</strong>scanners hängt sehr stark von der Aktualität des Programmes<br />
selbst <strong>und</strong> der <strong>Viren</strong>-Definitionsdatei ab. Daher ist es unumgänglich, jeden Tag ein<br />
Update durchzuführen. Die Programme bieten dafür entsprechende Einstellungen.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 7(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
4.1. Auswahl des Schutzprogrammes<br />
Welches Schutzprogramm der Benutzer verwendet, ist seine eigene Entscheidung. Diese<br />
Wahl hängt sicher von den jährlich zu erwartenden Kosten ab. Für die private Nutzung<br />
werden beispielsweise folgende, kostenlose Scanner angeboten:<br />
Microsoft Security Essentials<br />
http://windows.microsoft.com/de-DE/windows/products/security-essentials<br />
Avira Free Antivirus<br />
http://www.avira.com/de/avira-free-antivirus<br />
Kostenpflichtige <strong>Viren</strong>-Schutzprogramme sollen nach Aussagen der Hersteller einen<br />
besseren Schutz bieten. Ob dem so ist, kann weder bejaht noch verneint werden. Immer<br />
wieder werden die Schutzprogramme in Tests unter die Lupe genommen <strong>und</strong> beurteilt.<br />
Diese Test sind mittels der Begriffe „<strong>Viren</strong>scanner Test“ im Internet zu finden.<br />
Auf den folgenden Webseiten sind einige Empfehlungen nachzulesen:<br />
Wikipedia<br />
http://de.wikipedia.org/wiki/Antivirenprogramm<br />
Technische Universität Berlin<br />
http://hoax-info.tubit.tu-berlin.de/software/antivirus.shtml<br />
Quelle:<br />
Technische<br />
Universität<br />
Berlin<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 8(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
4.2. Installiertes Schutzprogramm testen<br />
Ist das <strong>Viren</strong>-Schutzprogramm installiert, sollte die Funktion des <strong>Viren</strong>scanners nach der<br />
Installation <strong>und</strong> nach größeren Systemupdates überprüft werden.<br />
Damit kein „echter“ Virus zum Test der <strong>Viren</strong>scanner <strong>und</strong> dessen Konfiguration verwendet<br />
werden muss, hat das<br />
European Institute of Computer Anti-virus Research<br />
in Verbindung mit den <strong>Viren</strong>scanner-Herstellern die sogenannte<br />
EICAR-Testdatei<br />
entwickelt. Die Testdatei enthält keinen echten Virus, kann somit auch keinen Schaden<br />
anrichten, wird aber von jedem namhaften <strong>Viren</strong>scanner als Virus erkannt. Mit dieser Datei<br />
kann getestet werden, ob das Antivirenprogramm korrekt eingerichtet ist <strong>und</strong> ob alle Arbeitsschritte<br />
des <strong>Viren</strong>scanners tadellos funktionieren.<br />
Für den Test wird im ersten Schritt, beispielsweise auf dem Desktop, eine leere Textdatei<br />
mit beliebigem Namen angelegt. Dazu den Mauszeiger auf eine leere Stelle des Desktops<br />
platzieren, die rechte Maustaste betätigen <strong>und</strong> folgende Funktionen auswählen:<br />
Danach den Namen der Textdatei eingeben <strong>und</strong> mit bestätigen.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 9(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Im zweiten Schritt wird der Editor durch Doppelklick auf die Textdatei gestartet, der Text<br />
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*<br />
im Textfenster abgelegt, die Datei über die Menüfunktion Datei gespeichert <strong>und</strong> der Editor<br />
beendet.<br />
Achtung: Damit die Textzeile nicht Buchstabe für Buchstabe mühsam eingegeben werden<br />
muss, kann die Webseite<br />
http://de.wikipedia.org/wiki/EICAR-Testdatei<br />
aufgerufen <strong>und</strong> die Zeile durch Kopieren übertragen werden.<br />
Im dritten <strong>und</strong> letzten Schritt muss die Textdatei ausgewählt, die rechte Maustaste betätigt<br />
<strong>und</strong> die Funktion Umbenennen ausgewählt werden.<br />
Danach wird der Dateiname<br />
EICAR.com<br />
eingegeben <strong>und</strong> die Namensänderung mit bestätigt.<br />
Achtung: Die Namensänderung der Textdatei ist nicht bei allen <strong>Viren</strong>scannern nötig, oft<br />
reagiert der Scanner schon nach dem Speichern der Textdatei.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 10(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Der <strong>Viren</strong>scanner sollte nun nach kurzer Zeit reagieren. Bei beispielsweise dem<br />
Microsoft Security Essentials<br />
wird sofort nach dem Ablegen der Textdatei das folgendes Meldungsfenster gezeigt <strong>und</strong><br />
die Datei entsprechend der Einstellung unter Quarantäne gestellt:<br />
Wird der <strong>Viren</strong>scanner geöffnet <strong>und</strong> das Register Verlauf angewählt, kann folgender Eintrag<br />
nachgelesen werden:<br />
Damit ist sichergestellt, dass der <strong>Viren</strong>scanner wie erwartet reagiert!<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 11(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
5. Was tun bei <strong>Viren</strong>befall?<br />
Sollte trotz aller Schutzmaßnahmen der eigene Computer einmal doch infiziert sein, so ist<br />
die beste <strong>und</strong> sicherste Lösung, die<br />
Wiederherstellung des Systems<br />
mittels einer aktuellen Sicherung. Leider vernachlässigen die meisten Benutzer von PCs<br />
die Sicherung, sodass unter Umständen keine aktuelle Sicherung existiert.<br />
Ist die Wiederherstellung mittels Sicherung nicht möglich, bieten einige Hersteller von <strong>Viren</strong>scannern<br />
die Möglichkeit, ISO-Abbilder für die Erstellung bootfähiger CDs, DVDs oder<br />
gar USB-Sticks herunterzuladen an. Diese Medien enthalten dann aktuelle oder aktualisierbare<br />
<strong>Viren</strong>-Definitionen <strong>und</strong> <strong>Viren</strong>scanner, mit denen dann der Computer nach den<br />
Booten von den <strong>Viren</strong> befreit werden kann.<br />
Gute Informationen findet man auf der Webseite der Technischen Universität Berlin im<br />
Abschnitt „kostenlose Antivirus-Boot-CDs“:<br />
http://hoax-info.tubit.tu-berlin.de/software/antivirus.shtml#boot<br />
Im Folgenden sollen einige der angegeben Möglichkeiten detailliert beschrieben werden.<br />
Die Erzeugung der nötigen Datenträger erfolgt unter Verwendung den Betriebssystems<br />
„Windows 7“ sowie dem „Internet Explorer 9“.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 12(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
5.1. Windows Defender Offline<br />
Die Microsoft Corporation stellt unter dem Namen<br />
Windows Defender Offline<br />
Software zur Verfügung, mit dessen Hilfe Bedrohungen identifiziert <strong>und</strong> schwer zu erkennende<br />
Schadsoftware <strong>und</strong> möglicherweise unerwünschte Programme entfernt werden<br />
können. Der Defender verwendet zur Erkennung aktuelle <strong>Viren</strong>-Definitionen.<br />
Unter der Webseite<br />
http://windows.microsoft.com/de-de/windows/what-is-windows-defender-offline<br />
stellt Microsoft ein Programm für die Erzeugung einer CD oder einer ISO-Datei zur Verfügung.<br />
Folgender Ausschnitt der Webseite zeigt Hinweise <strong>und</strong> den Start des Downloads:<br />
Achtung: Es sollte immer diejenige Bit-Version heruntergeladen werden, welche auch auf<br />
dem zu untersuchenden Computer installiert ist!<br />
Folgender Download-Hinweis wird gezeigt, in welchem Speichern ausgewählt wird:<br />
Nach dem herunterladen steht die ausführbare Datei<br />
mssstool32.exe (32-Bit-Version) oder mssstool64.exe (64-Bit-Version)<br />
zur Verfügung.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 13(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Ist auf dem zu untersuchenden PC 32-Bit-Windows installiert, wird mssstool32.exe durch<br />
Doppelklick gestartet, ansonsten mssstool64.exe. Danach zeigt sich folgendes Fenster<br />
mit Informationen, in welchem Weiter > angeklickt wird:<br />
Da eine ISO-Datei erzeugt werden soll, wird die entsprechende Option ausgewählt <strong>und</strong><br />
mittels Weiter > bestätigt. Folgende Darstellung zeigt dies:<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 14(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Der vollständige Pfad des Speicherortes wird definiert <strong>und</strong> Weiter > angeklickt:<br />
Die Dateien für die Defender-CD werden heruntergeladen, verarbeitet <strong>und</strong> die gewünschte<br />
ISO-Datei erzeugt. Die folgende Momentaufnahme zeigt den aktuellen Fortschritt:<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 15(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Nach dem Abschluss aller Arbeiten, zeigt sich folgendes Fenster. Bitte die Hinweise lesen<br />
<strong>und</strong> Fertig stellen anklicken.<br />
Mit einem Brennprogramm wird nun mit Hilfe der ISO-Datei die CD gebrannt.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 16(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Für die Untersuchung des eigenen Computers, wird die CD in das CD/USB-Laufwerk eingelegt<br />
<strong>und</strong> der PC gebootet. Nach einiger Zeit zeigt sich die Meldung<br />
Press any key to boot from CD or DVD..<br />
auf ansonsten schwarzen Bildschirm. Innerhalb der nächsten 10 Sek<strong>und</strong>en sollte nun eine<br />
beliebige Taste betätigt werden.<br />
Nach dem Tastendruck wird der PC von der eingelegten CD gestartet <strong>und</strong> zeigt den Fortschritt<br />
durch folgende Meldung an:<br />
Nach einiger Zeit zeigt sich folgender Bildschirminhalt:<br />
Achtung: Falls die <strong>Viren</strong>-Definitionsdatei ein wenig veraltet ist, wird ein Update derselben<br />
nötig. Daher den Computer vorsorglich mit dem Heimnetzwerk verbinden!<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 17(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Sobald das „Defender Offline Tool“ vollständig gestartet ist, überprüft das System den PC<br />
mit hoffentlich aktuellen <strong>Viren</strong>-Prints. Folgende Momentaufnahme zeigt den Fortschritt:<br />
Nach einiger Zeit wird hoffentlich festgestellt, dass keine Infizierung vorliegt.<br />
Beendet wird das System durch die Betätigung des Schließen-Knopfes (X).<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 18(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
5.2. Avira AntiVir Rescue System<br />
Die Avira Operations GmbH & Co. KG stellt unter dem Namen<br />
Avira AntiVir Rescue System<br />
ein Paket zur Verfügung, das die Möglichkeit bietet beispielsweise eine Notfall-CD mittels<br />
einer EXE- oder einer ISO-Datei zu erstellen. Mit dieser CD kann dann der infizierte Computer<br />
gestartet <strong>und</strong> von <strong>Viren</strong> befreit werden.<br />
Im ersten Schritt soll die ISO-Datei auf den Computer herunter geladen werden. Dazu wird<br />
die Webseite<br />
http://www.avira.com/de/downloads#tools<br />
aufgerufen. Daraufhin erscheint ein Fenster, welches folgenden Abschnitt enthält:<br />
Nach der Auswahl von ► Weitere Versionen erscheint ein neues Fenster, welches unter<br />
Anderem folgenden Fensterausschnitt enthält:<br />
Da die ISO-Datei herunter geladen werden soll, wird der rot umrahmte Knopf angeklickt.<br />
Es erscheint folgendes Meldungsfenster:<br />
Nach Auswahl von Speichern startet der Download, der je nach Internetverbindung unterschiedlich<br />
lange dauern kann.<br />
Ist die ISO-Datei vorhanden, so wird im zweiten Schritt das ISO-Image auf eine leere CD<br />
gebrannt.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 19(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Mit der zuvor erstellten Boot-CD soll nun ein Computer auf <strong>Viren</strong>verseuchung untersucht<br />
werden. Dazu wird die CD ins CD/DVD-Laufwerk eingelegt <strong>und</strong> der PC eingeschaltet.<br />
Nach einiger Zeit zeigt sich folgender Bildschirminhalt:<br />
An dieser Stelle wird die 1 eingegeben <strong>und</strong> mit bestätigt. Nach einigen Bootmeldungen<br />
startet das Avira AntiVir-System. Folgende Momentaufnahme zeigt dies:<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 20(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Nach dem vollständigen Start des Systems lädt es als erstes die auf der CD befindlichen<br />
<strong>Viren</strong>-Definitionen. Eine Meldung in der Bildmitte verdeutlicht dies:<br />
Sollte die Erzeugung des CD einige Tage her sein, so müssen die <strong>Viren</strong>-Definitionen auf<br />
jeden Fall aktualisiert werden. Dazu den Computer mit dem Heimnetzwerk verbinden <strong>und</strong><br />
die Funktion Update wie im Folgenden gezeigt aufrufen:<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 21(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Nach erfolgreichem Update der <strong>Viren</strong>-Definitionen wird folgende Meldung angezeigt:<br />
Die aktuelle Konfiguration sollte auch kontrolliert <strong>und</strong> eventuell angepasst werden. Die folgende<br />
Darstellung zeigt die Konfigurations-Seite:<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 22(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Nun ist es an der Zeit den Computer auf vorhandene <strong>Viren</strong> zu überprüfen. Dazu wird der<br />
Reiter Virus scanner ausgewählt <strong>und</strong> die Funktion Start scanner angeklickt. Das folgende<br />
Bild zeigt eine die Scanvorgang:<br />
Werden Infektionen festgestellt, so erfolgt entsprechend der vorgenommenen Konfiguration<br />
lediglich eine Protokollierung.<br />
Über die Konfiguration kann jedoch auch festgelegt werden, dass infizierte Dateien gereinigt<br />
<strong>und</strong> wenn dies nicht möglich ist, umbenannt oder gelöscht werden sollen.<br />
Ist die Arbeit getan, kann das System über den Shut down-Knopf in der rechten unteren<br />
Ecke des Bildschirm beendet werden.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 23(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
5.3. Kaspersky Rescue Disk 10<br />
Die Kaspersky Labs GmbH stellt unter dem Namen<br />
Kaspersky Rescue Disk 10<br />
ein Paket zur Verfügung, bestehend aus einer ISO-Datei <strong>und</strong> Beschreibungen, um eine<br />
Notfall-CD zu erzeugen. Nach eigenen Worten der Firma Kaspersky dient die Notfall-CD<br />
zur Untersuchung <strong>und</strong> Desinfektion infizierter Computer.<br />
Im ersten Schritt wird die Webseite<br />
http://support.kaspersky.com/de/viruses/rescuedisk<br />
aufgerufen. Es erscheint eine Seite, welche folgenden Ausschnitt enthält:<br />
Auf der Seite wird der rot umrahmte Text angeklickt. Darauf erscheint eine neue Seite, mit<br />
unter anderem folgenden Ausschnitt:<br />
Zum Herunterladen der ISO-Datei wird erneut der rot umrahmte Text angeklickt, woraufhin<br />
die folgende Meldung erscheint:<br />
Nach Auswahl von Speichern startet der unterschiedlich lang dauernde Download.<br />
Die herunter geladene ISO-Datei wird auf CD gebrannt <strong>und</strong> kann verwendet werden.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 24(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Mit der gebrannten CD wird nun ein vermeintlich verseuchter Computer untersucht. Dazu<br />
wird die CD in das CD/DVD-Laufwerk eingelegt <strong>und</strong> der PC gebootet. Nach einiger Zeit<br />
wird folgender Bildschirminhalt sichtbar:<br />
Vor dem Ablauf der im linken oberen Eck des Bildschirm sichtbaren Zählers, muss ein beliebige<br />
Taste betätigt werden. Danach erscheint wieder links oben die folgende Auswahl:<br />
Die gewünschte Sprache wird mittels <strong>und</strong> ausgewählt <strong>und</strong> mit bestätigt. Es<br />
werden die Lizenzbedingungen angezeigt. Einen Auszug zeigt folgende Darstellung:<br />
Durch die Eingabe einer „1“ werden die Lizenzbedingungen angenommen.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 25(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Es wird folgende Auswahlmöglichkeit im linken oberen Eck des Bildschirms angezeigt:<br />
Die rot markierte Funktion wird mittels <strong>und</strong> ausgewählt <strong>und</strong> mit bestätigt.<br />
Das System wird gestartet <strong>und</strong> nach einiger Zeit erscheint die folgende Oberfläche:<br />
Achtung: Im linken unteren Bildschirmeck erscheint eine Meldung die besagt, dass die<br />
Datenbanken oder genauer gesagt die <strong>Viren</strong>-Definitionen veraltet sind.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 26(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Aufgr<strong>und</strong> der Meldung, die Datenbank sei veraltet, wird der PC mit dem Heimnetzwerk<br />
verb<strong>und</strong>en <strong>und</strong> die Funktionen Update <strong>und</strong> Update ausführen wie gezeigt ausgewählt:<br />
Das System aktualisiert die <strong>Viren</strong>-Definitionen. Folgendes Fenster zeigt dies:<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 27(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Nach der Aktualisierung der <strong>Viren</strong>-Definitionen wird der <strong>Viren</strong>scan wie folgt gestartet:<br />
Folgende Darstellung zeigt eine Momentaufnahme der Suche:<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 28(29)
<strong>Viren</strong>, <strong>Würmer</strong> <strong>und</strong> <strong>Trojaner</strong><br />
Gr<strong>und</strong>lagen <strong>und</strong> Gegenmaßnahmen<br />
Herbert Nemeczek<br />
Brühlstraße 20<br />
72147 Nehren<br />
2012-09-03<br />
Entsprechend der Einstellungen wird im Falle einer Infektion nach Abschluss der Untersuchung<br />
nachgefragt, was mit dem infizierten Objekt geschehen soll. Möglich sind:<br />
Desinfizieren, d.h. Virus aus dem Objekt entfernen.<br />
Löschen, d.h. das Objekt wird vom Datenträger gelöscht.<br />
Folgende Darstellung zeigt, wie das System heruntergefahren wird:<br />
Hinweis: Das Kaspersky Rescue Disk-System legt für Updates, Berichte, Screenshots<br />
<strong>und</strong> dergleichen mehr ein Verzeichnis<br />
X:\ Kaspersky Rescue Disk 10.0<br />
auf einer der Festplatten des untersuchten Computern an.<br />
Wer noch mehr Informationen über das Kaspersky-System haben möchte, kann unter<br />
http://support.kaspersky.com/de/viruses/rescuedisk?level=2<br />
das Benutzerhandbuch als PDF-Datei auf den Computer herunter laden.<br />
Auf der Webseite<br />
http://www.viruslist.com/de<br />
kann man mehr über <strong>Viren</strong> erfahren <strong>und</strong> sich über aktuelle Bedrohungen informieren.<br />
<strong>Viren</strong>, Wuermer <strong>und</strong> <strong>Trojaner</strong>.doc Seite 29(29)