43090

Erkennen: Zeichen deuten, Prozesse aufspüren & offene Ports entdecken

06.08.2004 | 09:42 Uhr | David Wolski

2. Verdächtige Zeichen deuten

Selbst wenn der PC laut Scanner sauber ist, sollten Sie bei einem eigenartigen Verhalten des Systems misstrauisch werden. Verdächtige Zeichen: Der Taskmanager oder Registry-Editor schließt sich sofort wieder. Eine permanent hohe CPU-Auslastung, auch wenn keine Programme laufen, weist auf versteckt laufende Prozesse hin. Der Taskmanager von XP kann Ihnen zudem unter „Netzwerk“ die Auslastung der Netzschnittstellen anzeigen. Verdächtig, wenn diese konstant bei mehreren Prozent liegt, auch wenn kein Programm läuft.

Eindeutige Zeichen sind die Fehlermeldungen, die Blaster- und Sasser-Würmer auf den Wirtssystemen Windows 2000 und XP verursachen: Beide nutzen bei ungepatchten Systemen Sicherheitslücken von Systemdiensten, die dann meist abstürzen: Blaster greift den RPC-Dienst an, woraufhin Svchost.EXE abstürzt. Sasser hat es auf den Authentifizierungsdienst LSA abgesehen, woraufhin Lsass.EXE den Betrieb einstellt. In beiden Fällen bekommen Sie einen Dialog zu sehen, der den Shutdown des Systems ankündigt.

3. Unbekannte Prozesse aufspüren

Sehen Sie sich genau an, welche Prozesse auf Ihrem System laufen. Unter Windows 2000/XP eignet sich dazu der Taskmanager, den Sie mit <Strg>-<Shift>-<Esc> starten. Unter „Prozesse“ sagt er Ihnen, was läuft. Stellen Sie zu verdächtigen Programmnamen Nachforschungen an. Suspekt ist alles, was versteckt läuft, aber nicht zum System gehört. Umso mehr, wenn es sich mit ähnlich lautenden Namen als Systemdatei tarnen möchte: etwa als Svhost.EXE, Rundll16. EXE oder Isass.EXE.

Eine Hilfe ist hier unser Script pcw-Procview.HTA. Es arbeitet unter Windows ME, 2000 und XP als verbesserter Taskmanager. Sie starten es per per Doppelklick und sehen dann die laufenden 32-Bit-Prozesse, jeweils mit Programmnamen und Pfad. Bei jedem Task steht der Button „Google-Suche“, über den Sie direkt eine Suche nach dem Programmnamen bei Google im Browser auslösen. Mit „Explorer“ springen Sie zur jeweiligen Datei, und „Beenden“ macht kurzen Prozess mit dem Task. Wichtige Systemdienste sind vom Beenden ausgenommen.

4. Offene Ports entdecken

Backdoor-Programme öffnen Netzwerk- Ports, über die sie auf Befehle von draußen warten. Unter Windows 98/ME, 2000 und XP können Sie sich die offenen Ports über das Kommandozeilen-Tool Netstat.EXE anzeigen lassen. Geben Sie den Befehl

netstat –an

in der Eingabeaufforderung ein. Vergleichen Sie die Ausgabe von Netstat auf einem sauberen, ähnlich konfigurierten System mit den Ergebnissen eines verdächtigen PCs. Vorbeugend können Sie auf einer frischen Windows-Installation eine Ausgabe mit dem Kommando

netstat -an >ports.txt

in der Textdatei Ports.TXT sichern und später damit einen Vergleich anstellen. Bemühen Sie dazu Google, um zu suspekten Ports – vor allem ab Nummer 1025 – mehr Infos zu bekommen. Aber auch gewöhnliche Ports können auf einen Befall hindeuten: Sie haben gar keinen FTP-Server installiert, und trotzdem lauscht das System auf Port 21? Dann ist etwas faul, und der Rechner muss sofort in Quarantäne.

Einen umfassenden Scan von außen bietet www.port-scan.de. Weitere Links, unter denen Sie sich zum Thema Ports informieren können, erreichen Sie über unseren Webcode „Virenalarm“.

PC-WELT Marktplatz

43090