Archiv der Kategorie: Antiviren-Tools

Antiviren-Tools

Microsoft Standalone System Sweeper Tool

Veröffentlicht am von
Antworten

microsoftMicrosoft stellt eine Beta-Version des Malewarescanners Standalone System Sweeper Tool als Live-CD/Stick zum Download (ca. 205 MB, 32/64-bit) bereit. Die auf Windows PE basierende Live-CD/Stick verwendet die Microsoft-eigene AV-Engine, die auch beim Virenscan-Produkt Microsoft Security Essentials (MSE) zum Einsatz kommt. Der Download erfolgt über ein spezielles 1 MByte großes Tool, welches die aktuelle Version des System Sweepers und die aktuellen Signaturdateien als iso-Image fertig zur Verfügung stellt (ähnlich dem Avira AntiVir Rescue System). Das iso-Image kann mit dem Tool auf eine CD/DVD gebrannt werden oder alternativ auf einen bootbaren USB-Stick zum Einsatz kommen.

Nachdem Sie mit der CD/Stick den Rechner gebootet haben, scannt das Tool automatisch alle erkannten Laufwerke. Erkennt das Tool einen Virus, Maleware, Spyware oder etc. können Sie wählen wie Sie mit der Maleware-Erkennung umgehen wollen (clean system, remove, quarantine, clean, allow). Die PE Umgebung bietet neben dem Virenscan keine weiteren Funktionen an. Mit einer bestehenen Boot-CD/Stick können allerdings aktualisierte Virensignaturen auf einem USB-Stick eingebunden werden, um nicht bei jedem neuen Scan eine neue CD brennen zu müssen. Praktisch ist auch die Option, die Live-CD als iso-Datei schreiben zu lassen.

Ob Sie die 32-bit oder 64-bit Version des Tools zum Einsatz bringen wollen, ist abhängig von der Windows-Umgebung, welche Sie scannen wollen (und nicht von der Windows-Version auf welcher Sie die Live-CD erstellen).

c’t Notfall-Windows 2011

Veröffentlicht am von
Antworten

ctDie bisher vorgestellten Live-CDs basierten entweder auf einer Windows PE Umgebung mit umfangreicher Toolsammlung oder auf einem Linux-basierten Virenscannerprodukt. In der ct 2011 Heft 17 wird nun eine Kombination aus beiden Umgebungen möglich. Im ersten Winbuilder-Projekt (CC7PE2011) wird eine Windows PE 3.0 basierte iso-Datei erzeugt, die in einem zweiten Multiboot-Projekt (CCMultiboot2011) mit anderen Live-CDs integriert wird. Das Ergebnis der Mulitboot-Umgebung (Grub4DOS 0.4.5b) kann auf einem USB-Stick abgelegt werden, der sowohl eine Windows PE 3.0 Umgebung mit zahlreichen Windows-Tools als auch mehrere Virenscanner-Live-CDs beinhaltet.

Als Datenquelle für das erste Windows PE Projekt kann wie bei den zuvor vorgestellten Winbuilder-Installationen die Setup- bzw. Installations-DVD von Windows 7 (Starter, Home Premium, Prof., etc.) verwendet werden. Alternativ kann eine 90-Tage Testversion von Windows7 bei Microsoft heruntergeladen werden. Auf dem Begleitdatenträger der ct 2011 Heft 17 befindet sich eine vorbereitete Winbuilder-Umgebung, die in das Verzeichnis „c:\ctNotPE2011“ zu entpacken ist. Wenn Sie den Winbuilder gestartet haben geben Sie zuerst als Datenquelle die Windows7-Setup-DVD an (analog den zuvor hier im Blog besprochenen Winbuilder-Installationen). Wenn Sie zunächst keine virtuelle Umgebung erstellen wollen, entfernen Sie unter „VirtualTest/Best Emulation“ das Häkchen. Damit ist das erste Projekt fertig für die Erstellung, die Sie oben rechts mit der Play-Taste starten können. Als Ergebnis bekommen Sie im Unterordner „Projekte/iso“ eine bootbare iso-Datei generiert, die auf eine CD gebrannt werden kann (alternativ über „CC7PE2011\Finalize\Create ISO/CD“ und „Burn current ISO“).

Richtig gut wird die Notfall-Umgebung durch Kombination mit weiteren Live-CDs. Eine solche Multiboot-Umgebung kann mit dem zweiten Projekt „CCMultiboot2011“ erstellt werden. Die Live-CDs von Parted Magic 6.2, Memtest 86+, AVG Rescue CD, Avira AntiVir Rescue System, Kaspersky Rescue Disk 10, Panda SafeCD und der zuvor erstellten Windows PE-Umgebung sind im ct-Paket schon integriert. Kostenlos ergänzen können Sie die Live-CD-Pakete von Bitdefender Rescue CD, Dr. Web, F-Secure Rescue CD, Microsoft System Sweeper und die Windows XP Recovery Console. Die erforderlichen Downloads können über den Projektbaum der Winbuilder-Umgebung vorgenommen werden. Automatisch integriert ist das iso-File des ersten CC7PE2011-Projektes, falls es zuvor mit dem Play-Button erstellt wurde. Im Zweig „Finalize“ der Baumstruktur des Multiboot-Projektes kann schließlich das Ausgabemedium gewählt werden. Mit Auswahl „Create USB drive from target folder“ wird die Multiboot-Umgebung auf einem USB-Stick erstellt, der bootfähig generiert wird.

In die Multiboot-Umgebung kann auch die Hiren’s CD 13.2 integriert werden. Dazu ist in der Multiboot-Struktur unterhalb von „%files%\hiren“ das heruntergeladene zip-File zu entpacken. Hiren’s CD 14.0 funktioniert hier nicht, da ein anderer Bootloader zum Einsatz kommt. Schließlich ist auch die Knoppix-CD in die Multiboot-Umgebung integrierbar. Dazu sind nur die beiden Ordner „boot“ und „KNOPPIX“ von der Knoppix-Boot-CD in die entspr. Dateistruktur nach „%files%\knoppix\“ zu kopieren.

Im Gegensatz zu den zuvor vorgestellten Winbuilder-Paketen funktioniert bei diesem ct-Paket (CC7PE2011) keine WLAN-Unterstützung in der Notfall-Umgebung, selbst wenn man versucht den passenden WLAN-Treiber nachzuinstallieren.

Für den Einsatz der Windows XP Recovery Console in der Multiboot-Umgebung ist das Häkchen bei Catch22fix nicht zu setzen, da sonst ein Fehler beim Build auftritt. Die erforderlichen Dateien für die Recovery Console werden automatisch mit dem Build (Play-Taste) heruntergeladen.

Auf meinem Core i3 Notebook habe ich weiterhin einige Probleme mit den Live-CDs: Bei der Kaspersky CD wird die Maus nicht erkannt, die Avira CD, Dr. Web CD und F-Secure CD zeigen kein Bild, Parted Magic 6.2 und AVG bieten keine WLAN-Unterstützung zum Update der Virensignaturen, etc.

Portabler Virenscanner: Clamwin Portable

Veröffentlicht am von
Antworten

Wenn Sie mal schnell ohne Installation einen Virenscanner benötigen, eignet sich der Portable Clamwin Version 0.97.1. Der ca. 30 MB große Virenscanner ist Bestandteil der Portable Apps Suite. Die Stickware kann auf einem USB-Stick abgelegt werden und mit dem Windows-Produktivsystem ausgeführt werden. Es ist auch möglich den Virenscanner in einer bootbaren Windows PE Umgebung abzulegen, um von dort das Produktionssystem nach Viren prüfen zu können.

Laden Sie die Setup-Datei „ClamWinPortable_0.97.1_English.paf.exe herunter, führen Sie die exe-Datei aus und geben als Ziel den Laufwerksbuchstaben und ein geeignetes Verzeichnis für den Stickware-basierten Virenscanner an. Nach dem ersten Start der Antiviren-Software werden bei bestehender Internetverbindung automatisch die aktuellen Virensignaturen heruntergeladen. Sie können nun ein Laufwerk oder ein Verzeichnis für den Virenscan auswählen. Standardmäßig werden erkannte virulente Dateien nur angezeigt. In den Einstellungen (Registerkarte „General“) können Sie angeben, ob die Virendateien gelöscht oder in einen Quarantäne-Ordner verschoben werden sollen. Über die Registerkarte „Filters“ können Dateimaskierungen vorgegeben werden.

Auf der gleichen Downloadseite kann auch der portable Malewarescanner Spybot – Search & Destroy 1.6.2 heruntergeladen und analog eingesetzt werden.

Sehr geschickt ist auch die Kombination aus portablen Tools und der Anwendung Dropbox. Dropbox ist ein Webdienst, der ein Netzwerk-Dateisystem für die Synchronisation von Dateien zwischen verschiedenen Rechnern und Benutzern bereitstellt und damit gleichzeitig eine Online-Datensicherung ermöglicht. Kopieren Sie die beiden Antiviren-Tools nicht auf einen USB-Stick sondern in einen Dropbox-Ordner, haben Sie auf unterschiedlichen Rechnern mit installiertem Dropbox-Client immer die Virencan-Produkte synchron verfügbar.

Maleware-Analyse mit Sysinternals-Tools

Veröffentlicht am von
Antworten

Zur Problembehebung, Diagnose, Virenanalyse, etc. eines PCs eignen sich hervorragend die Sysinternal-Tools von Mark Russinovich, die seit Juli 2006 über die Microsoft-Homepage zugänglich sind. Die Sysinternals-Tools können heruntergeladen oder – noch einfacher – Online gestartet werden.

Trojanerentdeckung (Carberp) mit Process Explorer

Im com! Sonderheft Sicherheit 5/6/7 2011 ist beschrieben, wie mit dem Process Explorer der Trojaner Carberp aufgedeckt werden kann. Der Trojaner manipuliert den Windows-Explorer und injiziert Schadcode. Zur Analyse starten Sie den Process Explorer indem alle aktiven Prozesse hierarchisch angezeigt werden. Wählen Sie den Prozess „explorer.exe“ aus und blenden Sie das Detailfesnter zu diesem Prozess ein (über View/ Show Lower Pane). Stehen in der Spalte „Type“ spezielle Thread-Einträgen mit Namen <Non-existent Prozess> kann dies ein Hinweis für einen Carberp Infektion sein. Zur Beseitigung des Trojaners können Sie das Carberp Removal Tool von Bitdefender ausführen.

Virenanalyse (Stuxnet) mit Autoruns, Process Explorer und Process Monitor

Der Entwickler der Sysinternals-Tools Mark Russinovich stellt in seinem Blog immer wieder sehr gelungene (auch sehr technische) Artikel zum Umgang der Tools vor. Eine Virenanalyse in drei Teilen zum Virus Stuxnet finden Sie hier. Viren verstecken sich häufig in unbekannten bzw. nicht verifizierten Autostart-Einträgen. Siehe dazu auch folgenden Blog-Eintrag.

Als Einstieg in die Sysinternals Suite eignen sich auch die CaseOfTheUnexplained-oder Sysinternals-Tools Videos.

Best Practice: Virenalarm

Veröffentlicht am von
Antworten

Was tun wenn der Virenscanner „dreimal klingelt“? Statt in Panik zu verfallen kann folgende Vorgehensweise sinnvoll sein.

1. Analyse

Zunächst einmal sollte man sich fragen, wer überhaupt den Virusverdacht gemeldet hat. Die heutigen Virenscanner beinhalten unterschiedliche Wächtermodule wie z.B. Signaturerkennung, Heuristik (Virenmeldungen mit „heur“), Verhaltens-erkennung (Virenmeldungen mit „gen“) oder In-the-Cloud-Erkennung. Der Pfad und Dateiname der Virusmeldung ist festzuhalten. Die verdächtige Datei sollte zunächst nur gesperrt oder protokolliert werden, bevor Sie zu schnell auf Desinfizieren oder Löschen drücken. In vielen Fällen ist es sinnvoll erst mal von einem Notfall-System zu booten und eine Kopie der identifizierte (dann ungesperrten) Datei an einen Analysedienst im Internet zu schicken. Der Hinweis gilt umso mehr, wenn die Viruserkennung auf Heuristik oder Verhaltenserkennung basiert.

2. Informationen sammlen

Oft sind die Hinweise der Virenmeldungen wenig aussagekräftig. Ein spezialisierter Online-Dienst liefert meist mehr Informationen und ergänzt damit eine zweite Beurteilung.

2a. Virustotal

Virustotal scannt jede hochgeladene Datei mit mehr als 40 Virenscannern. Klicken Sie auf der Website zum Hochladen einer verdächtigen Datei auf „Durchsuchen.. “ Wenn die Datei schon bekannt ist, erscheint die Meldung „File already submitted“. In diesem Fall klicken Sie auf „Reanalyse“, um den mehrfachen Virenscan erneut mit aktualisierten Signaturen anzustoßen. Nach Abschluß des Virenscans weisen rote Einträge im Log auf eine virulente Datei hin. Mit den roten LOG-Einträgen ist eine weitere Recherche z.B. über google möglich.

2b. Threat Expert

Auch Threat Expert kann hochgeladene Dateien in einer Sandbox-Umgebung analysieren. Nach wenigen Minuten erhalten Sie eine E-Mail mit einem Link auf das Prüfergebnis.

2c. Jottis Malwarescanner

Eine Alternative bietet auch der speziell auf Malware optimierte Linux-basierte Virenscanner von Jotti.

2d. Virenlexikon

Noch speziellere Informationen bekommen Sie über ein Virenlexikon. Beispielsweise  verwaltet Kaspersky Lab eine große Virendatenbank.

Entscheiden Sie aufgrund gesicherter Informationen, ob es sich tatsächlich um einen Virus oder ähnliches handelt. Bei Virenbefall können Sie meist selber über die Notfall-Live-CD den Virus manuell löschen. Vorsicht ist beim Löschen von Systemdateien geboten!

3. Online-Scanner

Wenn auf einem PC ein Virus entdeckt wurde, sind häufig noch mehrere Dateien betroffen. Nach einer ersten Virenbereinigung mit einem Offline-Einsatz einer Live-CD können Sie nach dem Reboot in ihre Produktionsumgebung einen Online Virenscanner zur weiteren Analyse starten

3a. F-Secure Online Scanner

Der javabasierte Virenscanner kann nach dem Start mit „Prüfung durchführen“ und Auswahl „Vollständigen Scan“ gestartet werden. Entscheiden Sie pro Datei wie mit einem möglichen Virus umgegangen werden soll.

4. Einsatz von Live-CDs

Hier im Blog wurden schon mehrere Live-CDs zum Virenscan (Avira Antivir Rescue System, Kaspersky Rescue Disk, AVG/F-Secure Rescue CD, Desinfec’t, etc.) beschrieben. Entscheiden Sie je nach Konfiguration welches Rettungssytem für Sie geeignet ist.

5. Weitere Tools zur Virenbeseitigung

Sie können auch auf ihrem Produktionssystem weiter Virenscan-Tools installieren. Hier eine Auswahl:

5a. Bitdefender Free Edition

Der kostenlose Virenscanner verfügt über einen Hintergrunddienst, der sich auch als Zweitscanner bzw. Zweitmeinung eignet.

5b. Anti-Malware

Anti-Malware ermöglicht eine schnelle und gründliche Suche nach Trojanern.

5c. Rootkit Buster

Das TrendMicro-Produkt Rootkit Buster analysiert tief im System nach Rootkits. Es werden Registry-Einträge untersucht, Prozesse und Treiber analysiert und auch der MBR geprüft.

5d. Blitzblank

Das Freeware-Tool Blitzblank läuft nicht als Dienst sondern integriert sich in den Windows-Explorer (ohne Installation). Beim Neustart des Computers können markierte (virulente) Dateien automatisch gelöscht werden.

5e. c’t-Helper

Im c’t Magazin 05/08 wurden 22 essenzielle Hilfswerkzeuge u. a auch zum Säubern von PC-Systemen vorgestellt. Das c’t-Projekt stellt Hilfsprogramm zur Seite, die quasi automatisch für die Aktualisierung der einzelnen SW-Produkte sorgen.

Säuberungs-Tools innerhalb c’t-Helper:

  • CleanHandlers (entmistet AutoPlay-Handler unter XP und Vista),
  • Disk Cleaner (säubert Browser-Caches, Temp-Verzeichnisse, Cookies, etc.),
  • EasyCleaner (säubert Windows-Registry, auf Wunsch auch temporäre Dateien u.ä.),
  • EasyCleaner Blacklist (Ausnahmen für Registry-Säuberer von EasyCleaner),
  • ICSweep (säubert IE-Cache, TEMP-Verzeichnisse aller Anwender),
  • RegAlyzer (umfangreicher Editor für die Registrierungsdatenbank)

Malware-Scanner innerhalb c’t-Helper:

  • Ad-Aware 2007 Free (Inst., sucht und entfernt Ad- und Spyware),
  • Ad-Aware 2007 Malware Definition File (Malware-Sign. für Ad-Aware 2007 Free),
  • Avast Virus Cleaner (sucht und entfernt bestimmte Trojaner, Viren und Würmer),
  • Catchme Userland Rootkit Detector (sucht und erkennt einfache Rootkits),
  • F-Secure Blacklight Rootkit Eliminator (sucht und entfernt Rootkits),
  • Gmer (Stickware, sucht und entfernt Rootkits auch auf Offline-System)
  • McAfee Stinger (Inst., sucht und entfernt ausgewählte Trojaner, Viren und Würmer),
  • McAfee Avert Stinger for W32_Polip (sucht u. entfernt W32/Polip, säubert infiz. Files),
  • RootkitRevealer (spürt Rootkits auf von Sysinternals bzw. Microsoft),
  • Spybot – S&D (Inst., sucht u. entfernt Ad- sowie Spyware, immunisiert PC),
  • Spybot – S&D Detection Updates (Malware-Signaturen für Spybot aus Internet),
  • Tool zum Entfernen bösartiger Software (sucht und entfernt Trojaner und Rootkits)

Neben Säuberungstools und Malwarescanner liefert c’t-Helper noch mehrere Analysewerkzeuge. Die Tool-Sammlung ist ein Muss für jeden sysadmin.