Um zu erfahren, ob Ihr PC unerlaubt Daten an einen Hacker übermittelt oder als E-Mail- Schleuder („Spam-Zombie“) agiert, listen Sie die Netzverbindungen jedes laufenden Programms samt Verbindungspartner auf. Die englischsprachige Software Tcpview aus der Sysinternals Suite erledigt das in Echtzeit. Sie müssen sie lediglich starten. In der Ergebnistabelle stehen in der ersten Spalte („Process“) die Namen der Programme, gefolgt von ihren Identifikationsnummern („Process ID“). Zwei Spalten weiter sehen Sie unter „Local Address“ den Namen Ihres Computers und den verwendeten „Port“. Über diesen Port verschickt und empfängt das jeweilige Programm Daten. In der Spalte „Remote Address“ sehen Sie die Adresse der Gegenstelle. Die letzte Spalte liefert den aktuellen Status der Verbindung („Established“ steht für verbunden, „Listening“ für horchend). Übrigens: Wenn bei der Gegenstelle „localhost“ oder „127.0.0.1“ steht, ist das Ihr eigener Computer. Es gibt keine einfache Regel, um bösartige eindeutig von ungefährlichen Verbindungen zu unterscheiden. Es gibt aber Verbindungen, die verdächtig sind. Das wichtigste Kriterium bei der Analyse ist der verwendete Port (Spalte 3).Wenn Sie in der Ergebnisliste von Tcpview eine Anwendung mit einem Namen sehen, der Ihnen nichts sagt, und diese einen Port aus dem Bereich 1024 bis 49.151 („Registered Ports“) geöffnet hat, sollten Sie hellhörig werden. Merken Sie sich den Namen und dessen „Process ID“. Um den genauen Pfad zu erhalten, klicken Sie mit der rechten Maustaste auf den Prozess und wählen „Process Properties“. Die Ports aus dem Bereich 49.152 bis 65.535 („Dynamic Ports“) werden äußerst selten regulär genutzt. Hier ist die ideale Spielwiese für Trojaner. Sollte eine Anwendung einen Port aus diesem Bereich geöffnet haben, notieren Sie sich Pfad und Process ID und starten Sie den englischsprachigen Process Explorer ( Procexp.exe ) aus der Sysinternals Suite . Um mehr über den zuvor ermittelten Prozess zu erfahren, suchen Sie in der zweiten Spalte die entsprechende Process ID („PID“). Klicken Sie sie mit der rechten Maustaste an, und wählen Sie aus dem Menü den Eintrag „Properties“. Auf der Registerkarte „Security“ erfahren Sie, mit welchen Rechten der Prozess ausgestattet ist. Sehen Sie in der obersten Zeile neben „User“ etwa den Eintrag „NT-Autorität System“, dann läuft der Prozess mit Systemrechten (meist als Dienst) und hat somit alle Freiheiten auf Ihrem Computer. Auf der Registerkarte „Threads“ sehen Sie dann noch, welche Unterprozesse er gestartet hat. Wenn sich Ihr Verdacht erhärtet, dass es sich um ein Schadprogramm handelt, gehen Sie so vor: Öffnen Sie die Registerkarte „Image“, und klicken Sie dann auf „Kill Process“, um den Prozess und seine Unterprozesse zu beenden.
Autor: Marvin Tobisch
Marvin ist seit 2010 Teil des Teams von PC-WELT und beschäftigt sich gerne mit Webentwicklung, Gaming, Linux und verschiedenen IT-Basteleien.