lolloj - Fotolia

Säubern oder neu aufsetzen: Schadsoftware wieder entfernen

Trotz aller Sicherheitstools, irgendwann wird ein System mit Malware infiziert. Unternehmen sollten vorher wissen, wie sie damit umgehen.

Vor dieser Entscheidung stehen Endanwender und Administratoren seit es Computerviren gibt: Das System per Tools vom Schadcode befreien oder Festplatte formatieren und komplett neuaufsetzen? Die Antwort ist nicht immer einfach: Es kommt darauf an. Je nach Vorfall und System haben durchaus beide Vorgehensweise ihre Berechtigung.

Wenngleich sich die grundsätzliche Aufgabe nicht geändert hat, wird es immer schwieriger, Schadsoftware zu entdecken und vom System zu entfernen. Die wichtigen Fragen sind stets die gleichen: Ist ein System infiziert? Um welche Schadsoftware handelt es sich? Was hat die Malware angerichtet? Wo versteckt sich der Schädling? Und wie kann dieser entfernt werden? Bereits seit den 1990er Jahren exitistiert Malware und insbesondere Rootkits verbergen sich oft in den Tiefen des Betriebssystems, um ihre Aktivitäten zu verschleiern.

Seit dem es die Autoren der Malware vorziehen, ihre Produkte im Verborgenen agieren zu lassen und sich nicht mehr auffällig zu melden, wird es schwerer, die Schädlinge zu entdecken. Und es wird immer schwieriger, Malware sauber zu entfernen, wenn Technologien wie beispielsweise DLL-Injection benutzt werden und der Code im Adressraum eines anderen Prozesses ausgeführt wird.

Derzeit sind Erpressungstrojaner eine der großen Bedrohungen (siehe auch Ein Drittel der Unternehmen von Ransomware betroffen). Da gilt es, dieser Schadsoftware richtig zu begegnen. Ist ein System mit Ransomware infiziert und der Besitzer zahlt das Lösegeld, ist es keinesfalls sichergestellt, das die Malware nicht für einen weiteren Erpressungsversuch genutzt werden kann. Und Netzwerkangriffe, Stichwort Advanced Persistent Threat, können sehr hartnäckig sein, wenn der Schadcode nicht komplett vom kompromittierten System entfernt wird.

Was sich allerdings gegenüber den 90er-Jahren geändert hat, sind die Hintertüren beziehungsweise problematischen Angriffe über die Hardware. Hinzu kommt Malware, die direkt die Firmware angreift. Beides kann es erheblich erschweren, ein System zu säubern.

Die Sicherheitslösungen haben sich hingegen in den letzten 20 Jahren erheblich verbessert. Zwar benötigen alle Betriebssysteme nach wie vor Zusatz-Tools, diese sind funktionell jedoch deutlich besser geworden.

Schadsoftware wieder loswerden

Kunden erwarten von Antimalware-Lösungen, dass diese ihnen dabei helfen, die Schädlinge wieder loszuwerden. Und das funktioniert in der Regel auch. Von einigen Anbietern gibt es zudem spezielle Tools hierfür. Prominentestes Beispiel ist wohl Microsofts Malicious Software Removal Tool, das einmal monatlich in einer neuen Version zum Download bereit steht.

Zudem finden sich bei nahezu allen Hersteller von Antimalware-Lösungen Anleitungen, wie man Schadsoftware wieder los wird. Das gilt insbesondere für den Endkundenbereich. Wenn in Unternehmen Infizierungen festgestellt werden, sollte es festgelegte Abläufe geben, wie damit verfahren wird. Dazu kann beispielsweise ein verordneter Passwortwechsel, temporäre Admin-Rechte zur Untersuchung des Systems oder auch eine Offline-Überprüfung des Rechners gehören.

Bei hartnäckiger Schadsoftware oder Angriffen auf die Firmware ist es nicht immer möglich, sich des Problems auf einfache Weise zu entledigen. Selbst wenn, kann diese Aufgabe so zeitaufwändig sein, dass sie sich kaum lohnt. Verbirgt sich Schadcode etwa im Bootsektor der Festplatte, hilft im Zweifel auch eine Neuinstallation nicht. Sprich, hier muss vor dem Neuaufsetzen des Systems etwas mehr Aufwand getrieben werden. Im allerschlimmsten Fall kann es sogar notwendig sein, andere Hardware zu verwenden.

Daher sollte es in Unternehmen einen festgelegten Ablaufplan geben, wie ein System neu aufzusetzen ist. Eine sauber dokumentierte Schritt-für-Schritt-Anleitung inklusiver aller Softwarequellen und Tools hilft da weiter. Oftmals werden Systeme nur gesäubert und nicht neu aufgesetzt, weil man schlicht den Zeitaufwand hierfür scheut. Ein weitgehend automatisiertes Vorgehen kann da Abhilfe schaffen.

Zudem sollte es klare Regeln geben, wie etwaigen Vorfällen begegnet wird. Daher ist es unabdingbar, die entsprechenden Werkzeuge zu kennen, mit denen man verdächtigen Aktivitäten im Netzwerk oder auf einzelnen Systemen auf die Spur kommt. So existieren ja für die unterschiedlichen Bedrohungen vielfältige Monitoring-Tools, die Sicherheitsverantwortliche bei der Entdeckung solcher Probleme unterstützen. Es gilt dabei, sich rechtzeitig zu entscheiden, welche dieser Werkzeuge für die eigene Umgebung am geeignetsten sind.

Fazit

Es bleibt für IT-Sicherheitsverantwortliche stets ein Balanceakt abzuwägen, welche Vorgehensweise bei einer Infektion in Sachen Risiko die richtige ist. Selbst mit guten Monitoring- und Sicherheitstools lässt sich nicht immer feststellen, was die Malware auf einem kompromittieren System wirklich anstellt.

Unternehmen, die in Sachen Sicherheit kein Risiko eingehen wollen, werden dazu neigen, ein System neu aufzusetzen, sobald verdächtige Aktivitäten registriert werden. Andernorts wird es genügen, wenn ein Mitarbeiter der IT-Abteilung das befallene System mit standardisierten Tools und Vorgehensweisen von der Schadsoftware befreit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close