Wenn Sie über Links in unseren Artikeln einkaufen, erhalten wir eine kleine Provision. Das hat weder Einfluss auf unsere redaktionelle Unabhängigkeit noch auf den Kaufpreis.
Viren mit Spionage-Funktion waren bisher schon eine große Bedrohung für den PC-Nutzer. Seit Bekanntwerden der umfassenden Internetüberwachung durch die Geheimdienste stellt sich nun zusätzlich die Frage: Ist mein PC mit Spionage-Programmen verseucht? PC-WELT hilft, diese Frage zu beantworten.
Die Suche nach Spionage-Programmen auf dem eigenen PC ist eine echte Herausforderung. Denn schließlich setzen die Macher der Spionage-Programme alles daran, ihren Code möglichst gut zu verstecken. Doch kein Code ist perfekt. PC-WELT hat fünf Tools herausgesucht, mit denen Sie Ihren PC eingehend überprüfen können.
Von wem dieser Code stammt, ob von Viren-Verbreitern, Geheimdiensten, Überwachungs-Firmen oder sonst wem, soll dabei keine Rolle spielen.
Erste Schritte: Die klassische Virensuche kommt zuerst
Spionage-Code ist Schad-Code. Darum sollten Sie die Suche nach diesen Programmen mit einer klassischen Virensuche beginnen. Starten Sie einen kompletten Festplattenscan mit Ihrer Antiviren-Software. Diese Software findet auch Schad-Code der sich mit Hilfe eines Rootkits versteckt. Trotzdem kann der Scan mit einem zweiten Antiviren-Programm nicht schaden. Allerdings sollte das zweite Tool ohne Installation arbeiten, da sich zwei installierte Antiviren-Programmen gegenseitig in die Quere kommen. Empfehlenswert ist etwa ein Prüflauf mit dem Online-scanner von Bitdefender, den Sie über www.pcwelt.de/u56t starten können.
Um zur Sicherheit noch ein Tool oben drauf zusetzen, können Sie die Software Rubotted installieren. Das Spezial-Tool kontrolliert den Netzwerkverkehr Ihres Systems ins Internet und alarmiert Sie, wenn sich Ihr Rechner wie ein virenverseuchter PC verhält. So entdecken Sie einen Schädling auch dann, wenn Ihr eigentliches Antiviren-Programm diesen übersehen hat.
Haben Sie diese Vorsichtsmaßnahmen ergriffen, dann können Sie sich mit den folgenden fünf Tools aus dieser Bildergalerie auf die Suche nach tief im System versteckten Spionage-Code machen.
Killswitch: Verdächtige Tasks finden und beenden
Etliche Viren und Spionage-Code machen sich nicht die Mühe, sich mit Hilfe der Rootkit-Technik zu tarnen. Sie laufen ganz einfach als Task und sind auch im Taskmanager sichtbar. Doch ist die Liste der aktiven Programme in der Regel ganz schön lang. Es ist also gar nicht so einfach, einen schädlichen Task mit einem normalen Taskmanager zu erkennen. Abhilfe schafft hier das Tool Killswitch aus der englischsprachigen Tool-Sammlung Comodo Cleaning Essentials. Killswitch ist ein Task-Manager, der auf das Auffinden von Schad-Code spezialisiert ist. So prüfen Sie Ihren PC: Entpacken Sie die Comodo Cleaning Essentials in einen beliebigen Ordner. Alle Tools aus der Sammlung laufen ohne Installation. Starten Sie Killswitch über die gleichnamige EXE-Datei. Beim ersten Start müssen Sie einmalig den Lizenzbestimmungen über „I Accept“ zustimmen. Das Tool listet nach dem Start alle laufenden Prozesse auf und analysiert ihr Verhalten. Danach sollten Sie suchen: Killswitch zeigt zu den laufenden Prozesse in der Spalte „Rating“ eine Sicherheitseinschätzung an. Suchen Sie nach „Unkown“ und „Suspicious“ und natürlich „Danger“. Derart gekennzeichnet Prozesse müssen aber nicht zwangsläufig Schad-Code sein. Sie sollten zunächst über Google Infos zu dem Prozess einholen. Oder Sie laden die Datei auf www.virustotal.com hoch. Dort wird sie von über 40 Antiviren-Tools gescannt.Download
Attack Surface Analyzer: Analysieren Sie neue Programme bei der Installation
Schad-Code wird entweder über Sicherheitslücken in Software oder per Social Engineering ins System gehievt. Beim Social Engineering arbeiten die Virenverbreiter mit Tricks. Sie bringen ihre Opfer dazu, den Schad-Code freiwillig zu installieren. Das geht etwa dann, wenn der Code in einem Spiel, einem nützlichen Tool oder einem Video-Codec versteckt ist. Wenn Sie sich nicht sicher sind, ob ein neues Programm sauber ist oder nicht, dann können Sie all jene Änderungen aufzeichnen, die dieses Tool während der Installation vornimmt. Das erledigt etwa die englischsprachige Freeware Microsoft Attack Surface Analyzer. So prüfen Sie Ihren PC: Starten Sie den Attack Surface Analyzer und wählen Sie „Run a new scan“ und lassen Sie die Ergebnisse in eine CAB-Datei speichern. Sie erhalten so einen Zustandsbericht Ihrer Registry. Installieren Sie nun das verdächtige Programm und starten Sie es auch. Nun kommt ein neuer Scan mit dem Attack Surface Analyzer dran, dessen Ergebnisse in einer neuen CAB-Datei landen. Die beiden CAB-Dateien vergleichen Sie anschließend mit dem Analyzer über die Option “Generate a standard attack surface report“. Danach sollten Sie suchen: Sollte das verdächtige Programm zusätzlich Schad-Code enthalten, wird sich dieser wahrscheinlich in einen Autostart-Schlüssel gepackt haben. Durchsuchen Sie das angezeigt Protokoll besonders nach einem solchen Eintrag.Download
Webroot System Analyzer: Analysieren Sie Windows und Software
Wenn ein Viren-Verbreiter nicht mit Social Engineering-Tricks arbeitet, dann schleust er den Virus über eine Sicherheitslücke in Windows oder in installierten Programmen ins System. Untersuchen Sie deshalb zum Beispiel mit dem Webroot System Analyzer Ihren PC auf Software-Fehler.So prüfen Sie Ihren PC: Das kostenlose, englischsprachige Tool System Analyzer stammt vom Antiviren-Hersteller Webroot. Es analysiert Ihr Windows-System, meldet mögliche Schwachstellen und gibt teilweise auch Tipps, was Sie besser Einstellen können. Darauf müssen Sie achten: Der Webroot System Analyzer bemängelt auch weniger dramatische Fundstellen. Wer etwa seine Browser-Cookies nicht regelmäßig löscht, bekommt das von dem Sicherheits-Tool vorgehalten. Der Grund: Die Cookies lassen sich von Werbe-Netzwerken auf vielen Internet-Seiten auslesen. So erhalten die Betreiber hinter den Werbe-Netzwerken ein recht detailliertes Bild von Ihrem Surfverhalten. Das ist zwar kein echter Sicherheitsmangel für den PC, betrifft aber Ihre Privatsphäre.Download
Wireshark: So analysieren Sie den kompletten Netzwerkverkehr
Schadcode und Spionage-Programme werden immer auch Spuren im Netzwerkverkehr hinterlassen und das selbst dann, wenn Sie nur einen einzigen PC haben. Denn sobald dieser mit dem Internet verbunden ist, nutzt er eine Netzwerkverbindung zum DSL-Router oder Kabelmodem und dann weiter ins Internet. Ziel der Netzwerkanalyse ist es, Ungereimtheiten zu finden und so unerwünschten Code ausfindig zu machen. So prüfen Sie Ihren PC: Nutzen Sie das Open-Source-Tool Wireshark. Es ist ein Analysetool zur Überwachung und Kontrolle des Datenaustausches in Netzwerken. Das Tool nutzt den universellen LAN-Treiber Winpcap, der sich vor den Treiber der Netzwerkkarte einklinkt. Dieser protokolliert alle Daten, die gesendet und empfangen werden und gibt sie an Wireshark weiter. Starten Sie Wireshark und wählen Sie im Feld links oben zunächst die Netzwerkkarte, die Sie überwachen wollen und starten Sie das Protokoll dann über „Start“.Danach sollten Sie suchen: Auch wenn Sie keinen Internet-Browser geöffnet haben, werden alleine Windows und die installierten Programme schon eine große Menge an Datenverkehr verursachen. Lassen sie Wireshark einige Zeit laufen und beenden Sie dann das Protokoll über das Stopp-Icon in der Symbolleiste. In der Spalte „Destination“ sehen Sie die IP-Adresse zu der die Kommunikation geführt hat. Wollen Sie herausfinden, ob zu der IP-Adresse eine Internet-Domain gehört, geben Sie sie in https://network-tools.com in der Feld oberhalb von „GO“ ein und drücken die Taste Enter.Die genaue Analyse eines Wireshark-Protokolls ist nicht ganz einfach. Tipps dafür finden Sie in dem Beitrag unter www.pcwelt.de/1328232 .Download
DNS Query Sniffer: Erkennen Sie versteckte DNS-Adressabfragen
Darum geht’s: Hat sich ein Schad-Code auf Ihrem PC eingeschlichen, schaut er meist erstmal im Internet nach, welche neuen Befehle seine kriminellen Hintermänner für ihn rausgesucht haben. Dafür muss der Schädling eine Ansprechstelle im Internet haben. Früher nutzt er dafür bevorzugt IRC-Server (Internet Relay Chat) mit dem entsprechenden IRC-Protokoll. Doch die Kommunikation über diese und ähnliche Kanäle lässt sich recht gut von der Antiviren-Software überwachen und filtern. Aus diesem Grund verbreiten die Kriminellen seit Anfang 2012 immer häufiger Viren, die ihre Befehle über eine DNS-Abfrage (Domain Name System) abholen. Eine DNS-Anfrage geht eigentlich dann von Ihrem PC aus, wenn Sie als Nutzer eine Webadresse in den Browser eingeben, etwa www.pcwelt.de. Da im Internet eine Verbindung von Rechnern aber nicht über solche Textadressen funktioniert, sondern über die sogenannten IP-Adressen, schaut ein Rechner bei einem DNS-Server nach, welche IP-Adresse etwa zu www.pcwelt.de gehört. Auch viele Tools und Browser-Erweiterungen verursachen DNS-Abfragen. Um nun alle Abfragen zu protokolieren, nutzen Sie das Tool DNS Query Sniffer. Wie Sie das Programm am besten einsetzen, lesen Sie in diesem Beitrag.Download
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
