1764974

Netzwerk beobachten und Malware aufdecken

26.07.2013 | 14:23 Uhr |

Virenscanner, Firewall und Wachsamkeit: Mit dieser Troika sind Sie gegen Malware schon gut geschützt. Wer es noch genauer wissen will, kann sein Netzwerk überwachen. So geht's.

Er könnte zum Beispiel aufzeichnen, was Sie wann in welche Anwendung eingeben – und so Ihre Passwörter ausspionieren. Oder er öffnet einem Hacker eine Hintertür, durch die dieser Daten abgreifen und den Rechner fernsteuern kann. Vielleicht macht er den PC auch zum Teil eines Botnets, das Spam-Mails verschickt oder Angriffe auf andere Rechner ausführt. Oder Sie haben sich keine klassische Malware, sondern Spyware eingefangen, die zwar selbst nicht direkt gefährlich ist, dafür jedoch Ihr Benutzerverhalten aufzeichnet und online an den Hersteller meldet. Es empfiehlt sich herauszufinden, ob unerwünscht Daten übertragen werden: Wenn Sie ein vorsichtiger Mensch sind, sollten Sie regelmäßig nachschauen, ob im Hintergrund Programme laufen, die unbemerkt Daten ins Internet senden oder aber Verbindungen entgegennehmen.

Dabei hilft Ihnen das kostenlose Tool Tcpview . Sie können es direkt starten, eine Installation ist nicht erforderlich. Es zeigt eine tabellarische Ansicht aller laufenden Prozesse an, die aktuell oder vor kurzem Kontakt zum internen Netzwerk oder zum Internet aufgenommen haben.

In der Spalte „Process“ ist der Prozessname aufgeführt, die PID („Process-ID“) ist dessen laufende Nummer. „Protocol“ zeigt das verwendete Protokoll an. „Remote Address“ und „Remote Port“ sind die IP-Adresse beziehungsweise die dazugehörige Domain sowie die Anschlussnummer des Rechners im Internet, mit dem der Prozess in Verbindung steht oder vor kurzem in Verbindung stand. Für jede Verbindung, die ein Prozess aufbaut, zeigt Tcpview einen eigenen Eintrag an. Es ist dabei nicht ungewöhnlich, dass ein Programm mehrere Verbindungen zum gleichen Server aufnimmt. Ein Browser tut dies in der Regel für jedes einzelne Element einer Internetseite. Wenn in der Spalte „State“ der Begriff „Listening“ steht, wartet der Prozess auf Kontaktaufnahme. „Established“ bedeutet, dass die Verbindung steht. Den Spalten rechts daneben können Sie entnehmen, wie viele Pakete beziehungsweise Bytes bisher übertragen wurden.

Mit Wireshark Netzwerk-Probleme finden

Es ist nicht ganz einfach, harmlose Einträge von schädlichen zu unterscheiden. Bei den Windowseigenen Prozessen wie etwa Svchost.exe, System, Services.exe und Lsass.exe brauchen Sie sich keine Sorgen zu machen. Manche Schad-Software versucht sich allerdings zu tarnen, indem sie einen ähnlichen Namen verwendet wie ein Systemprozess. Um genauere Infos zu einem Eintrag zu bekommen, klicken Sie ihn doppelt an. Sie sehen dann den ausführlichen Namen des Prozesses und eine Angabe zum Hersteller (die allerdings manipuliert sein kann) sowie den Pfad, in dem das fragliche Programm liegt.

0 Kommentare zu diesem Artikel
1764974