124212

Ist Ihr PC gehackt?

03.07.2008 | 08:40 Uhr |

Es kann jeden treffen: Hacker haben Ihren PC gekapert, um ihn für ihre kriminellen Zwecke zu missbrauchen. Prüfen Sie Ihr System - am besten sofort!

Seien Sie wachsam: Wann immer Ihr Rechner nicht so reagiert wie erwartet, sollten Sie sich folgende Frage stellen: "Ist mein PC gehackt?" Dass dieser Gedanke keineswegs paranoid ist, bestätigen Experten des Sicherheits-Unternehmens Ciphertrust: Täglich finden weltweit etwa 250.000 Neu-Infektionen statt . Das bedeutet: Jeden Tag verlieren 250.000 Anwender unbemerkt die Kontrolle über ihren PC. Solche gekaperten Systeme nennt man Zombies. Sie gehorchen ihrem Besitzer nicht mehr und formieren sich etwa zu Hunderttausenden in digitalen Armeen ("Botnet"), um Webserver lahmzulegen oder "Denial of Service"-Attacken (DoS) durchzuführen. Allein hierzulande wurden im April 2008 weit über 300.000 neue Zombies gezählt. Deutschland liegt damit nach den USA, China und Südkorea auf Platz 4 der unrühmlichen Weltrangliste. Jetzt handeln: Analysieren Sie mit dieser Anleitung heute noch Ihr System, um sicherzugehen, dass es nicht betroffen ist. Dabei ist eins klar: Nur kein Fund ist ein guter Befund. Jeder Zweifel erfordert konsequentes Vorgehen. Für die Analyse und den Schutz Ihres PCs geben wir Ihnen das nötige Rüstzeug mit auf den Weg.

System-Analyse
Da Hacker darauf abzielen, sich Fernzugriff auf fremde Rechner zu verschaffen, sorgen sie zunächst dafür, eine Malware auf Ihrem Rechner abzusetzen und zu starten. Diese Malware öffnet dann wiederum unbemerkt eine Hintertür (Backdoor) auf Ihrem System - auch dann, wenn im Nachhinein Sicherheitslücken gestopft, Firewalls verstärkt und Virenscanner aktualisiert wurden. Wir zeigen in den folgenden fünf Punkten, wie Sie einen derartigen Befall erkennen.

IP-Check
© 2014

Symptome für einen Erstverdacht
Hacker setzen auf Diskretion, damit der PC-Besitzer möglichst spät oder nie Verdacht schöpft und keine Gegenmaßnahmen einleitet. Trotzdem wird jeder Zombie-PC natürlich vom Hacker für eine bestimmte Aufgabe genutzt. Das verursacht PC-Aktivitäten, die Sie hellhörig machen sollten. Zugriffe überwachen : Lassen Sie Ihren Rechner einige Minuten ohne Eingriffe laufen, und beobachten Sie die Kontrollleuchten Ihrer Festplatte und Ihrer Netzwerkkarte beziehungsweise Ihres Routers. Stetig flackernde LEDs weisen auf häufige Plattenzugriffe oder Netzwerkverkehr hin. Das muss aber noch nichts bedeuten: Insbesondere die automatischen Updates und der Indexdienst von Windows sind mögliche Auslöser. Ein Dauerzustand sollte dieser rege Datenverkehr jedoch nicht sein. Beobachten Sie mit dem Task-Manager (<Strg>-<Alt>-<Entf>) auf den Registerkarten "Systemleistung" und "Netzwerk" die Prozessor-Last beziehungsweise die Netzwerkauslastung. Misstrauisch sollten Sie auch werden, wenn Ihr System nur sehr zäh läuft und kaum bis gar nicht auf Tastatur- oder Mauseingaben reagiert.

Ungewollte Pop-ups : Verdächtig ist es, wenn sich beim Surfen immer wieder automatisch Pop-up-Fenster öffnen, obwohl Sie einen Pop-up-Blocker eingerichtet haben. Die Datei "Hosts": Überprüfen Sie die Hosts-Datei im Ordner \Windows\System32\Drivers\etc. Diese Datei kann Zuordnungen von IP-Adressen zu bestimmten Host-Namen (etwa Web-Seiten) enthalten, somit Web-Seiten-Aufrufe auf Hacker-Server oder beispielsweise auf Phishing-Seiten umlenken. Öffnen Sie die Datei mit einem Text-Editor (etwa Notepad), und sehen Sie sich alle Zeilen an, die nicht mit dem Zeichen "#" beginnen. Steht dort etwas anderes als "1:27.0.0.1: localhost" oder "::1: localhost", das Sie nicht selbst eingetragen haben, ist das ein wichtiger Hinweis auf eine Hacking-Attacke.

IP-Adresse : Prüfen Sie, ob Ihre öffentliche IP-Adresse in Antispam-Datenbanken gelistet ist. Bei einem normalen DSL-Anschluss mit wechselnder IP ist das zwar eher unwahrscheinlich. Sie sollten es dennoch ausschließen. Gehen Sie dazu auf www.dnsbl.info, und klicken Sie auf "Check this IP". Falls einer der Server in der Ergebnisliste ein rotes Symbol zeigt, ist Ihre Adresse gelistet und Ihr Rechner vermutlich kompromittiert. All das kann, muss aber nicht zwangsläufig zu jeder Zeit beobachtbar sein. Vertrauen Sie auf Ihr Gefühl: Wenn Ihr System seit einiger Zeit ungewöhnliche Macken zeigt, prüfen Sie besser etwas genauer nach. Wie das geht, beschreiben wir in den folgenden Punkten.

Externer Virenscan
Da Sie auf einem gehackten System im Prinzip keiner Software mehr trauen können, müssen Sie Ihr System von außen überprüfen. Das hat außerdem den Vorteil, dass Verschleierungs-Mechanismen von Rootkits (Punkt 5) ebenfalls unwirksam sind und der Scanner wirklich Zugriff auf alle Dateien hat. Am besten scannen Sie Ihr System mit dem englischsprachigen 64797&opv=1:&dl=38630&vc=1::Trinity Rescue Kit. Entpacken Sie dazu das entsprechende Archiv in einen beliebigen Ordner, und rufen Sie die pcwBurnISO.exe auf, um eine bootfähige Notfall-CD zu brennen. Legen Sie diese neue CD dann in Ihr Laufwerk, und starten Sie den Rechner davon (Sie müssen eventuell die Bootreihenfolge im Bios anpassen). Nachdem der Kommando-Prompt erscheint, geben Sie folgenden Befehl ein: virusscan -a avg

Damit untersuchen Sie das System mit Grisoft AVG nach Viren. Auf die Frage "Would you like to forcemount the device?" drücken Sie die Taste <Z>, um das Einhängen der Laufwerke, also aller angesteckten Festplatten, zu bestätigen. Nachdem Trinity Rescue Kit die aktuelle Antiviren-Software heruntergeladen hat, beginnt automatisch die Überprüfung aller Dateien Ihres Systems. Falls der Scan infizierte Dateien gefunden hat, lassen Sie das Programm die betroffenen Dateien löschen. Dann starten Sie den Rechner mit "Reboot" neu. Trotz des Virenscans und der dabei gelöschten Dateien können Sie noch nicht davon ausgehen, dass Ihr System wieder sauber ist. Sie sollten nun in regelmäßigen Abständen die laufenden Prozesse und die Netzverbindungen analysieren. Tipp : Im Archiv des Trinity Rescue Kits finden Sie in der Datei pcw408_aufsteller.pdf einen Kurzüberblick über viele Rettungsfunktionen des Systems.

0 Kommentare zu diesem Artikel
124212