21.12.2010, 11:01

Marvin Tobisch

Sicherheit

Verdächtige IP-Adressen analysieren

Hacker und Trojaner erkennt man am einfachsten anhand von ungewöhnlichen Netzwerkverbindungen. Wir zeigen Ihnen, wie Sie diese überprüfen.
Um zu erfahren, ob Ihr PC unerlaubt Daten an einen Hacker übermittelt oder als E-Mail- Schleuder („Spam-Zombie“) agiert, listen Sie die Netzverbindungen jedes laufenden Programms samt Verbindungspartner auf. Die englischsprachige Software Tcpview aus der Sysinternals Suite erledigt das in Echtzeit. Sie müssen sie lediglich starten.
 
In der Ergebnistabelle stehen in der ersten Spalte („Process“) die Namen der Programme, gefolgt von ihren Identifikationsnummern („Process ID“). Zwei Spalten weiter sehen Sie unter „Local Address“ den Namen Ihres Computers und den verwendeten „Port“. Über diesen Port verschickt und empfängt das jeweilige Programm Daten. In der Spalte „Remote Address“ sehen Sie die Adresse der Gegenstelle. Die letzte Spalte liefert den aktuellen Status der Verbindung („Established“ steht für verbunden, „Listening“ für horchend). Übrigens: Wenn bei der Gegenstelle „localhost“ oder „127.0.0.1“ steht, ist das Ihr eigener Computer.
 
Es gibt keine einfache Regel, um bösartige eindeutig von ungefährlichen Verbindungen zu unterscheiden. Es gibt aber Verbindungen, die verdächtig sind. Das wichtigste Kriterium bei der Analyse ist der verwendete Port (Spalte 3).Wenn Sie in der Ergebnisliste von Tcpview eine Anwendung mit einem Namen sehen, der Ihnen nichts sagt, und diese einen Port aus dem Bereich 1024 bis 49.151 („Registered Ports“) geöffnet hat, sollten Sie hellhörig werden. Merken Sie sich den Namen und dessen „Process ID“. Um den genauen Pfad zu erhalten, klicken Sie mit der rechten Maustaste auf den Prozess und wählen „Process Properties“.
 
Die Ports aus dem Bereich 49.152 bis 65.535 („Dynamic Ports“) werden äußerst selten regulär genutzt. Hier ist die ideale Spielwiese für Trojaner. Sollte eine Anwendung einen Port aus diesem Bereich geöffnet haben, notieren Sie sich Pfad und Process ID und starten Sie den englischsprachigen Process Explorer (Procexp.exe) aus der Sysinternals Suite.
 
Um mehr über den zuvor ermittelten Prozess zu erfahren, suchen Sie in der zweiten Spalte die entsprechende Process ID („PID“). Klicken Sie sie mit der rechten Maustaste an, und wählen Sie aus dem Menü den Eintrag „Properties“. Auf der Registerkarte „Security“ erfahren Sie, mit welchen Rechten der Prozess ausgestattet ist. Sehen Sie in der obersten Zeile neben „User“ etwa den Eintrag „NT-Autorität\ System“, dann läuft der Prozess mit Systemrechten (meist als Dienst) und hat somit alle Freiheiten auf Ihrem Computer. Auf der Registerkarte „Threads“ sehen Sie dann noch, welche Unterprozesse er gestartet hat.
 
Wenn sich Ihr Verdacht erhärtet, dass es sich um ein Schadprogramm handelt, gehen Sie so vor: Öffnen Sie die Registerkarte „Image“, und klicken Sie dann auf „Kill Process“, um den Prozess und seine Unterprozesse zu beenden.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

768823
Content Management by InterRed