Portabler Malware-Scanner: Emsisoft Emergency Kit 2.0

emsisoftEine schnelle Möglichkeit zur Viren- bzw. Malewaredesinfektion ist das Stickware-basierte Softwareprodukt Emergency Kit 2.0 der Firma Emsisoft. Das ca. 140 MB große Freeware-Softwarepaket kann auf der Homepage von Emsisoft als gezippte Datei heruntergeladen werden (entpackt ca. 160 MB). Die Stickware läßt sich auf einem USB-Stick entpacken (in der zip-Datei die start.exe ausführen) und kann auf einem Windows-Produktivsystem ausgeführt werden. Es ist auch möglich den Virenscanner in einer bootbaren Windows PE Umgebung abzulegen, um von dort das Produktionssystem nach Viren prüfen zu können. Die neue Version 2.0 soll ca. 450 Prozent schneller sein als die Vorgängerversion.

Nach dem Entpacken der zip-Datei kann wiederum die Datei „start.exe“ ausgeführt werden. Es stehen nun vier Systemtools zur Auswahl:

  • Emergency Kit Scanner: Malware-Scanner mit grafischer Oberfläche
  • Commandline Scanner: Skriptbasierter Malware-Scanner
  • HiJackFree: Systemanalyse Tool zur manuellen Virenbeseitigung
  • BlitzBlank: Löscht Dateien, Registryeinträge, etc. nach Neustart des Rechners

Der Emergency Kit Scanner durchsucht das Windows-Produktionssystem nach Viren, Trojaner, Spyware, Adware, Würmer, Dialer, Keylogger und allen anderen schädlichen Programmen (inkl. Cookieanalyse). Gefundene Malware kann entweder in Quarantäne verschoben oder endgültig gelöscht werden. Nach dem Start des Scanners wird auf Anfrage automatisch eine Aktualisierung der Virensignaturen (im Ordner ../Run/Signatures) über eine bestehende Internetverbindung durchgeführt. Der Virensignaturupdate kann auch zuvor auf einem anderen System mit Internetverbindung erfolgen.

Der Commandline Scanner enthält die gleichen Funktionen wie der Emergency Kit Scanner; er kommt jedoch ohne grafische Benutzeroberfläche aus. Das Kommandozeilen Tool richtet sich an sysadmins und kann in Skripten integriert werden.

Mit HiJackFree können Sie alle aktiven Prozesse, Treiber, Dienste, Autostarts, Registryeinträge und offene Ports analysieren, kontrollieren und verwalten. Werden z.B. in der aktiven Liste der Prozesse von HiJackFree rote Einträge markiert, dann ist diese rote Markierung ein Hinweis auf einen möglichen schadhaften Prozess. Details im Umgang mit HiJackFree finden Sie hier.

BlitzBlank ist ebenfalls ein Tool für Systemadministratoren. Hartnäckige Maleware-Schädlinge verankern sich immer häufiger tief im System und schützen sich vor einer Löschung im laufenden Windows-Betrieb. BlitzBlank löscht Dateien, Registry-Einträge und Treiber nach einem Rechnerneustart, also noch bevor Windows und andere Programme geladen sind. Als Alternative stehen auch Offline-Notfallumgebungen zur Verfügung, wie sie hier im Blog besprochen werden.

Maleware-Analyse mit Sysinternals-Tools

Zur Problembehebung, Diagnose, Virenanalyse, etc. eines PCs eignen sich hervorragend die Sysinternal-Tools von Mark Russinovich, die seit Juli 2006 über die Microsoft-Homepage zugänglich sind. Die Sysinternals-Tools können heruntergeladen oder – noch einfacher – Online gestartet werden.

Trojanerentdeckung (Carberp) mit Process Explorer

Im com! Sonderheft Sicherheit 5/6/7 2011 ist beschrieben, wie mit dem Process Explorer der Trojaner Carberp aufgedeckt werden kann. Der Trojaner manipuliert den Windows-Explorer und injiziert Schadcode. Zur Analyse starten Sie den Process Explorer indem alle aktiven Prozesse hierarchisch angezeigt werden. Wählen Sie den Prozess „explorer.exe“ aus und blenden Sie das Detailfesnter zu diesem Prozess ein (über View/ Show Lower Pane). Stehen in der Spalte „Type“ spezielle Thread-Einträgen mit Namen <Non-existent Prozess> kann dies ein Hinweis für einen Carberp Infektion sein. Zur Beseitigung des Trojaners können Sie das Carberp Removal Tool von Bitdefender ausführen.

Virenanalyse (Stuxnet) mit Autoruns, Process Explorer und Process Monitor

Der Entwickler der Sysinternals-Tools Mark Russinovich stellt in seinem Blog immer wieder sehr gelungene (auch sehr technische) Artikel zum Umgang der Tools vor. Eine Virenanalyse in drei Teilen zum Virus Stuxnet finden Sie hier. Viren verstecken sich häufig in unbekannten bzw. nicht verifizierten Autostart-Einträgen. Siehe dazu auch folgenden Blog-Eintrag.

Als Einstieg in die Sysinternals Suite eignen sich auch die CaseOfTheUnexplained-oder Sysinternals-Tools Videos.

Admin-Stick 2.0.3

Der Admin-Stick 2.0.3 wurde im Computer-Magazin com! Spezial USB-Sticks 10/09 vorgestellt. Mit einem Admin-Stick-Builder kann man 25 Sofort-Tools und fünf Boot-Systeme auf einem ca. 2 GB großen USB-Stick installieren. Die Sofort-Tools und die Microsoft-Tools (Sysinternals Suite) können sinnvollerweise nur vom Produktionssystem angesprochen werden (\tools\asuite\asuite.exe starten). Die Boot-Systeme Avira Antivir, DBAN (Dariks Boot and Nuke – löscht Daten unwiederbringlich), HDT (Hardware Detection Tool), Memtest und Parted Magic sind Live-Systeme die (offline) auf das Produktionssystem zugreifen können.

Folgende Sofort-Tools beinhaltet der Admin-Stick:

  • Ccleaner: entfernt Daten und schafft Platz auf der Festplatte, mit Analysefunktion
  • Clam Win: Virenscanner mit Online-Update
  • Crystal CPU ID: Infos zu Mainboard (BIOS-Update?) und BIOS-Version
  • Crystal Disk Info: liest SMART-Daten der Festplatte aus
  • Crystal Disk Mark: prüft Schreib-und Lese-Performance der Festplatte
  • Eraser: löscht Daten unwiderruflich
  • Explore2fs: Lesezugriff auf Linux-Partitionen
  • GMER: beseitigt Rootkits
  • HW Monitor: liest Temperatur von Prozessoren und Grafikkarte aus
  • Keyfinder: findet Produktschlüssel von Windows-und Office-Versionen
  • My Defrag 4.1.1: defragmentiert die Festplatte
  • PC On/Off Time: analysiert An- und Ausschaltzeit des Rechners
  • PC Wizard 2009: liefert HW-Details und Benchmark-Informationen
  • System Explorer: liefert Infos zu Prozessen, Treibern und Add-ons
  • WinDirStat: analysiert die Festplatte hinsichtlich Speicherfresser
  • Windows-Optimierer: soll Performance bei XP und Vista verbessern

Im USB-Stick-Ordner „tools\syssuite“ befindet sich die bekannte Sysinternals Suite.