Virus-Prävention und Abwehr von Attacken

Dr. W. Näser, Marburg, April 2002 ff.

Jeder PC-Benutzer, der via LAN oder (was noch heikler ist, per Modem) im WWW surft, begibt sich mit jedem neuen Tag in größere Gefahr. Schuld daran ist die Tatsache, daß nicht nur ein ganzes Heer von Geisteskranken und Schurken nicht besseres zu tun hat, als Zehntausende von Viren zu erfinden und damit die Volkswirtschaft und die Privaten um Milliarden von Euro zu schädigen, sondern daß neue Strategien ersonnen werden, um das einst euphorisch begrüßte Internet zu einer Spielwiese für skrupellose Abzocker zu machen. Die folgenden Hinweise werden laufend ergänzt.

1. Virenschutz-Programme

(McAfee, Norton, PcCillin usw.) sind beim Booten als TSR zu laden und müssen bei allen Rechenvorgängen aktiv sein. Zu diesen Programmen erscheinen wöchentlich Updates, die über neue Viren informieren und entsprechende Abwehr-Algorithmen enthalten. Diese Updates müssen unbedingt durchgeführt werden!
Wichtig in diesem Zusammenhang ist auch, daß Programme (*.exe) und Module (*.dll, *.ocx usw.), die Sie mit Aspack oder UPX gepackt haben, von Virenschutzprogrammen oft fälschlich als "infiziert" ausgewiesen werden. Für solche Fälle müssen Sie die Original-Dateien zur Hand haben, um sie in die betreffenden Verzeichnisse "zurückzuschreiben" und so die Programme wieder lauffähig zu machen.

2. Manuelle Abwehrmaßnahmen

Hier geht es um Programme, die als die berüchtigten 0190-Dialer und andere (kostspielige) Störenfriede eingeschleust werden, wenn allzu leichtsinnige Surfer ihre Neugier dadurch befriedigen, daß sie sich in "halbseidene" Seiten begeben, wo sog. "Wares" und anderes angeboten werden. Solche illegalen Server bombardieren den Surfer immer öfter mit ganzen Salven von Porno-Seiten und bieten spezielle Zugänge zu Hardcore- und anderem Material, die zu aktivieren sind durch Anklicken spezieller Mini-Fenster. Sobald der Klick erfolgt, werden blitzschnell bestimmte Kurzprogramme und Routinen geladen und teils sofort aktiviert und können dem Nutzer nicht nur hohe finanzielle Verluste zufügen, sondern auch das im Rechner installierte System teilweise unbrauchbar machen. Die Eindringlinge nisten sich mit Vorliege in folgenden Bereichen ein:

1. c:\windows
2. c:\windows\system
3. c:\windows\fonts (hidden!) u.ä. -

und zwar in vielerlei Gestalt: z.B. als Exe-Datei mit trügerischem Namen (expl0rer, systray usw.), als funktionsfähige Module (*.dll, *.ocx usw.), als solche getarnte Dateien mit Textinhalt oder als harmlos aussehende *.ini, *.cfg oder *.txt. Diese Eindringlinge sind teilweise als "hidden" markiert und / oder hausen in entsprechenden Pfaden, sind folglich mit konventionellen DOS-Routinen und Default-eingestellten Dateimanagern nicht aufzuspüren, werden im Rahmen von "Putz"-Maßnahmen nicht gelöscht und können so im schlimmsten Fall für sehr lange Zeit ihre subversiven und zerstörerischen Kräfte entfalten.

Wird Ihr Rechner aus unerklärlichen Gründen immer langsamer und haben Sie immer weniger freien RAM-Speicher, so liegt es nahe, daß im Hintergrund unerwünschte parasitäre Programme laufen, die möglicherweise vertrauliche Benutzerdaten (Paßwörter, Statistiken, Nutzergewohnheiten) an fremde Hosts übermitteln, sich per 0190xxx kostspielig irgendwo einwählen oder neue, gefährliche Parasiten, Piraten und Viren (Trojaner u.a.) in Ihr System einschleusen, um dort noch mehr Unheil und Verwirrung anzurichten. Ich empfehle hier:

1. Aktivieren Sie einen leistungsfähigen Datei-Manager wie den Windows Commander, optieren Sie die Anzeige aller "hidden"-Dateien und -Pfade und überprüfen Sie alle kritischen Verzeichnisse auf die in den letzten Tagen neu "erworbenen" bzw. installierten Dateien. Dazu gehören auch anscheinend systemeigene Programme wie systray.exe, sofern sie abweichende Größe haben oder zusätzlich (= in anderen Pfaden) installiert wurden. Überführen (moven) Sie diese Dateien ggf. in ein spezielles Quarantäne-Verzeichnis. Packen Sie dort alle Dateien in einen *.zip und löschen Sie sie hernach, damit sie nicht mit irgendwelchen Hintergrund-Routinen lokalisiert und re-aktiviert werden können.
   Befinden Sie sich in einer kritischen Session und haben Sie den Verdacht, daß hier solche Attacken "live" stattfinden, so lassen Sie parallel den Windows Commander laufen, gehen Sie in c:\windows und / oder c:\windows\fonts (vorher Anzeige von hidden files aktivieren!), optieren Sie zeitlich absteigende Dateianzeige (= die neuesten sind oben sichtbar) und löschen (bzw. moven) Sie ggf. sofort die gerade eingetroffenen, verdächtigen Files !!!
   Defragmentieren Sie hernach die befallene Partition, damit die von den entfernten Programmen eingenommenen Cluster überschrieben werden und die Stör-Programme nicht via Unerase reaktiviert werden können.
2. Überprüfen Sie mit Ausführen:msconfig, welche Programme via Autostart in den Speicher geladen werden. Deaktivieren Sie (in den betreffenden Kästchen) alle Programme, die offensichtlich nicht zum System (Windows) gehören oder Ihnen seltsam vorkommen (wie z.B. "Expl0rer" mit der unterscheidenden "0"). Nach dem nötigen Re-Boot müssen diese Programme wirklich inaktiv sein: vergewissern Sie sich!
3. Posteingang: öffnen Sie keine zweifelhaft erscheinenden Mails (Partner-, Porno-Angebote u.ä.). Wenn es sich nicht vermeiden läßt und Sie (z.B. im Netscape Mailer) durch Überstreichen mit dem Cursor die Mail geöffnet haben, so klicken Sie auf keinen Fall auf das Mail-Attachment !
4. Deaktivieren Sie Active-X.
5. Entfernen Sie nach jeder Session alle nicht benötigten temporären und protokollarischen Dateien (auch die "Cookies"). Ein spezielles Programm ("Evidence Eliminator" u. dgl.) ist nicht erforderlich, eine simple Batch-Datei erfüllt denselben Zweck.

Wird ergänzt. Stand: 25.4.2002