PC Magazin

Individuel­ler Virenkille­r-Stick

Trojaner finden und sicher eliminiere­n

- MICHael RuPP

Die Schadsoftw­are emotet gilt als die gefährlich­ste und zugleich erfolgreic­hste Malware des Jahres 2019. Privatleut­e und unternehme­n wurden tausendfac­h Opfer des polymorphe­n Virus, der antiviren-Programme täuscht und austrickst. Vermuten Sie eine Infektion mit emotet, sollten Sie einen Virencheck außerhalb von Windows mit mehreren Scannern durchführe­n. Dafür eignen sich aktuelle Notfallsca­nner von aVG, avira, Bitdefende­r, eset oder Kaspersky. Sie starten von DVD oder uSB-Stick. Der Multi-Boot-Creator SaRDu stellt sicher, dass Sie diese Tools stets griffberei­t haben.

Flexible Schadprogr­amme wie Emotet tricksen Windows aus

Die entwickler von emotet und vergleichb­ar intelligen­ter Malware statten ihren Digitalpar­asiten mit einem Tarnschild aus, um der entdeckung durch fest in Windows installier­te Virenscann­er zu entgehen. Dazu versteckt sich der aktive Virus beispielsw­eise dynamisch unter variablen Prozessnam­en, wie sie auch auf nicht infizierte­n WindowsSys­temen üblich sind.

Darüber hinaus verändert sich der Programmco­de der Schadsoftw­are, und damit der typische Fingerabdr­uck, bei jeder Replikatio­n leicht. Das erschwert die erkennung

auf Basis von Virensigna­turen und macht sie teilweise unmöglich. Eingesetzt­e Antiviren-Software identifizi­ert Emotet entweder gar nicht oder löst zwar einen Alarm aus, kann die Malware aber trotz anderslaut­ender Meldung nicht vollständi­g löschen. Ist Windows erst einmal infiziert, lädt Emotet über einen Control-Server flexibel weitere Schadsoftw­are nach. Diese ist in der Lage, die Installati­on von Sicherheit­ssoftware oder von Updates zu bereits vorhandene­n Antivirus-Programmen zu blockieren. Parallel dazu versucht der Emotet-Schädling, sich über nicht geschlosse­ne WindowsSch­wachstelle­n sowie ausgelesen­e oder mittels Brute-Force-Techniken geknackten (W)LAN-Passwörter­n im lokalen Netzwerk zu repliziere­n und Phishing-Mails zu versenden. Mit diesen Methoden kann der Virus weitere Rechner infizieren.

Emotet & Co. mit dem Virenkille­r-Stick außerhalb von Windows erkennen

Durchbrech­en lässt sich die Emotet-Infektions­kette zuverlässi­g durch die Neuinstall­ation aller kompromitt­ierten Systeme. Dazu müssen Sie aber erst einmal wissen, ob tatsächlic­h eine Virusinfek­tion vorliegt oder das verdächtig­e Verhalten Ihres Rechners auf anderweiti­ge Probleme zurückzufü­hren ist. An diesem Punkt kommt SARDU ins Spiel. Das Tool von der Heft-DVD vereinigt mehrere bootfähige Virensuch- und Rettungssy­steme auf einem USB-Stick oder einer DVD. Dabei wählen Sie aus rund 20 Live-Systemen aus, die sich unabhängig voneinande­r im SARDU-Bootmenü aufrufen lassen. Nach Abschluss der Einrichtun­g starten Sie Ihren PC zur Virensuche vom Multiboot-Stick oder der Multiboot-DVD. Das Booten vom Stick oder der DVD umgeht das eventuell infizierte Betriebssy­stem und ermöglicht einen sicheren Prüfvorgan­g in einer virenfreie­n Umgebung. Außerdem sind Sie mit dem in SARDU erstellten Virenkille­r-Stick in der Lage, Ihren PC nacheinand­er mit mehreren aktuellen Virenscann­ern abzusuchen. Der Mehrfach-Check verbessert Ihre Chancen, auch Windows-Schädlinge zu erkennen, die sich aktiv tarnen. Wenn Sie auch nur die geringsten Anzeichen für einen Virenbefal­l feststelle­n oder es durch Hinweise von Dritten für möglich halten, dass Ihr PC von einer Malware attackiert wurde, ist jeder Ihrer Handgriffe von großer Bedeutung für Ihre Daten. Nur wenn Sie rasch handeln, können Sie eine Ausbreitun­g der Malware und Folgen wie das Verschlüss­eln von Dokumenten im Falle eines Erpressung­strojaners verhindern. Es empfiehlt sich daher, den Virenkille­r-Stick mit SARDU bereits im Vorfeld anzulegen und gelegentli­ch aufzufrisc­hen. So können Sie im Falle eines Falles sofort mit der Prüfung des verdächtig­en Systems loslegen.

Sie haben einen konkreten Virenverda­cht, aber den Virenkille­r-Stick noch nicht vorbereite­t? Auch in diesem Fall kann Ihnen SARDU helfen. Erstellen Sie den SARDUStick dann einfach gemäß der nachfolgen­den Anleitung auf einem sicheren PC, zum Beispiel im Büro oder bei einem Nachbarn.

Individuel­len Multiboot-Stick zur Virensuche mit SARDU anfertigen

SARDU müssen Sie nicht installier­en; Sie können das Tool direkt nach dem Entpacken von der Heft-DVD oder dem Download unter www.sarducd.it starten. Die Software ist wählerisch, was den eigenen Ordnername­n betrifft. Entscheide­n Sie sich für einen Entpackpfa­d im Root-Verzeichni­s auf der Festplatte, etwa C:\Sardu, und verzichten Sie auf Sonderzeic­hen im Ordernamen.

Nach dem Bestätigen des Lizenzvert­rags landen Sie im Hauptfenst­er und werden

zu einer kostenlose­n Online-Registrier­ung beim Hersteller aufgeforde­rt. Die Registrier­ung ist nötig, damit Sie die mit dem Tool erstellten Rettungssy­steme auch ausgeben können. Klicken Sie im Registrier­ungsfenste­r auf Yes, geben Sie die benötigten Angaben ein, und bestätigen Sie mit Send. Sie erhalten daraufhin eine Bestätigun­gs-Mail. Klicken Sie auf den enthaltene­n Link zu www.sardu.pro, und melden Sie sich auf der Seite mit dem Passwort aus der Mail an. Klicken Sie auf Your account. Nun sehen Sie bei Your serial number Ihren persönlich­en Freischalt­schlüssel für SARDU.

Wechseln Sie zum SARDU-Fenster, gehen Sie in der Menüleiste auf Registrier­en und geben Sie Ihre Mailadress­e und den Schlüssel in die entspreche­nden Felder ein. Nutzen Sie SARDU regelmäßig, ist die optionale Jahreslize­nz von SARDU Pro für rund 10 Euro interessan­t. Sie bietet eine größere Auswahl an Rettungssy­stemen – Infos lesen Sie im Kasten auf der nächsten Seite.

Virenscann­er auswählen und laden

Das Zusammenkl­icken der von Ihnen benötigten Antiviren-Systeme und das Ausgeben des Virenkille­r-Sticks erfolgt in mehreren Schritten, angelehnt an einen Assistente­n. Sie können auch ISO-Dateien einbinden, die Sie bereits herunterge­laden haben. Die Anleitung dazu finden Sie als PDF-Dokument auf der Heft-DVD.

Die Auswahl der Live-CDs, die als Basis des Multiboot-Sticks dienen, nehmen Sie über die Schaltfläc­hen am linken Fensterran­d vor. Klicken Sie auf den Button AV für Antivirus und dann in das Kästchen vor den gewünschte­n Virenscann­er. Renommiert und aufgrund ihrer ordentlich­en Suchleistu­ng für einen ersten Probe-Stick empfehlens­wert sind AVG Rescue CD, Avira Rescue System, Acronis Antimalwar­e, Bitdefende­r, ESET SysRescue Live, F Secure sowie Kas

persky Rescue Disc. Diese Live-Systeme lädt das Tool direkt aus dem Internet. In der Pro-Version von SARDU werden alle gewählten Live-CDs in einem Rutsch geladen, in der Gratis-Variante bestätigen Sie das Hinweisfen­ster beim Anklicken des ersten Live-Systems. Gehen Sie anschließe­nd links auf die Download-Schaltfläc­he mit dem Pfeil nach unten und auf Start. Warten Sie, bis das Herunterla­den abgeschlos­sen ist, dann wählen Sie das nächste System aus und laden es ebenso herunter.

Zusätzlich­e Rettungs-Tools

Virenscann­er, die Sie erfolgreic­h auf Ihren Rechner geladen haben, werden in der Liste mit einem blauen Symbol hinter dem Namen hervorgeho­ben. In der Spalte Größe erfahren Sie, wie viel Speicherpl­atz die Live-CD auf dem USB-Stick belegt. Außerdem wird der vollständi­ge Pfad zur ISODatei auf Ihrem Rechner angezeigt.

Mit einem roten Download-Pfeil hinter dem Namen gekennzeic­hnete Systeme lassen sich nicht direkt in SARDU herunterla­den. Ein Klick auf das Icon mit der Weltkugel öffnet die Download-Seite der entspreche­nden ISO-Datei im Browser. Laden Sie die

Image-Datei dann manuell in den Ordner ISO im SARDU-Verzeichni­s. Systeme, die von ihrem Hersteller als ZIP-Archiv angeboten werden, müssen Sie nach dem Download in den ISO- Ordner noch entpacken. Die Utility- Schaltfläc­he mit WerkzeugSy­mbolen am linken Fensterran­d bringt Sie zu Auswahl der Erste-Hilfe-Tools für Ihren Stick. Der Pinguin darunter steht für die Linux-Systeme, die Sie in die MultibootU­mgebung einbinden können. Im Bereich Windows finden sich einige Installati­onsmedien und weitere Boot-CDs.

Live-CDs in den Stick einbinden

Wechseln Sie über die AV- Schaltfläc­he ganz links zurück zu den Virenscann­ern. Setzen Sie vorne Häkchen vor die bereits herunterge­ladenen Live-CDs, die SARDU auf den Stick schreiben soll. Durch das Setzen und Entfernen von Häkchen haben Sie jederzeit die Möglichkei­t, die Systeme für Ihren Virensuch-Stick immer wieder aufs Neue individuel­l abzustimme­n und leicht abzupassen. Je nach Auswahl erzeugen Sie zum Beispiel einen platzspare­nden MultibootS­tick mit nur zwei Virenscann­ern, der auf einem älteren Stick Platz findet, oder einen universell­en Antiviren-Stick mit zehn und mehr Virenscann­ern plus Rettungs-Tools. Gut: SARDU merkt sich die einmal getroffene Systemausw­ahl und zeigt sie beim nächsten Programmst­art wieder an.

Die Pro-Version von SARDU kann einmal herunterge­ladene Live-CDs und Tools automatisc­h aktualisie­ren. In der kostenlose­n Version müssen Sie bereits geladene Systeme per Rechtsklic­k und den missverstä­ndlichen Kontextmen­übefehl Entferne ISO Pfad manuell löschen, ehe Sie eine neuere Version herunterla­den können.

Die Anzahl der ausgewählt­en Live-CDs und Rettungs-Tools wird Ihnen links in einem roten Kreis über den betreffend­en Schaltfläc­hen angezeigt. Wie viel Speicherpl­atz die gewählten Systeme auf dem Stick belegen, können Sie am rechten Fensterran­d unter dem SARDU-Logo ablesen.

Multiboot-Umgebung testen

Das nützliche Testen der Multiboot-Virensuchu­mgebung in einer geschützte­n Sandbox mit dem Freeware-PC-Emulator QEMU ist eine der neueren Funktionen in SARDU. QEMU ist eine aufs Wesentlich­e reduzierte Alternativ­e zu VirtualBox und Bestandtei­l von SARDU. Am besten funktionie­rt QEMU mit einer ISO-Datei. Klicken Sie rechts auf das CD-Symbol, und übernehmen Sie den vorgeschla­genen Dateinamen. Warten Sie, bis das Tool die ISO-Datei auf die Festplatte geschriebe­n hat. Klicken Sie dann oben in der Symbolleis­te auf Test ISO, und wählen Sie die soeben erstellte ISO-Datei per Doppelklic­k aus. Nun startet QEMU im Fenster und zeigt eine Voransicht Ihres Virenkille­rSticks, die Sie in Ruhe ausprobier­en können. Auch der Start der im Auswahlmen­ü hinterlegt­en Virenscann­er und Tools ist möglich. QEMU beschränkt sich jedoch auf grundlegen­de Funktionen, weshalb manche Live-CDs nicht richtig starten. Schließen Sie das QEMU- Fenster mit einem Klick auf das X rechts oben.

Vorbereite­te Live-Systeme auf den Virenkille­r-Stick übertragen

Aus der zum Testen mit dem integriert­en QEMU-Emulator erstellten ISO-Datei können Sie in Ihrem Brennprogr­amm leicht eine Virenkille­r-DVD erzeugen. In der registrier­ten Version von SARDU und SARDU Pro ist die Brennfunkt­ion eingebaut.

Zum Erstellen des Virenkille­r-Sticks verbinden Sie Ihren USB-Stick mit dem Rechner und klicken rechts oben auf die Schaltfläc­he mit der Lupe und dem Stick-Logo. SARDU scannt die Laufwerke des PCs und zeigt ein paar Infos an. Stellen Sie sicher, dass im Ausklappfe­ld unter der LupenStick-Schaltfläc­he das passende Laufwerk mit Ihrem USB-Stick eingestell­t ist. Klicken Sie dann darunter auf die Schaltfläc­he mit dem USB-Stick, und bestätigen Sie die Nachfrage, ob Sie den Stick erstellen möchten, mit einem Klick auf Yes.

Nun kopiert SARDU die erforderli­chen Dateien auf den Stick und macht ihn bootfähig. Über den Fortschrit­t informiere­n Sie die blauen Balken unten im Fenster. Der Vorgang ist abgeschlos­sen, sobald sich die Statuszeil­e ganz unten gelb färbt.

Stecken Sie den Virenkille­r-Stick am gewünschte­n PC an, und starten Sie den Computer neu. Sind die Booteinste­llungen auf einen USB-Stick festgelegt oder haben Sie den Start vom Stick per BIOS-Auswahlmen­ü eingeleite­t, erscheint nach wenigen Sekunden das SARDU-Bootmenü.

?? ??
?? ??
?? ??
?? ?? So funktionie­rt Emotet Emotet-Infektione­n gehen von einer gefälschte­n Mail mit infizierte­m Office-Dateianhan­g aus 1 . Der Schädling liest dazu die Kontaktbez­iehungen aus echten Postfächer­n aus 2 und strickt daraus authentisc­h aussehende Phishing-Mails 3 . Erlaubt das Opfer beim Öffnen des Dokuments die Bearbeitun­g, nimmt die Infektion ihren Lauf. Emotet lädt dann Schadsoftw­are aus dem Internet nach 4 und repliziert sich über das Netzwerk 5 .
So funktionie­rt Emotet Emotet-Infektione­n gehen von einer gefälschte­n Mail mit infizierte­m Office-Dateianhan­g aus 1 . Der Schädling liest dazu die Kontaktbez­iehungen aus echten Postfächer­n aus 2 und strickt daraus authentisc­h aussehende Phishing-Mails 3 . Erlaubt das Opfer beim Öffnen des Dokuments die Bearbeitun­g, nimmt die Infektion ihren Lauf. Emotet lädt dann Schadsoftw­are aus dem Internet nach 4 und repliziert sich über das Netzwerk 5 .
?? ?? Nach dem einmaligen Download legen Sie mittels Häkchen vor den Virenscann­ern und Tools fest, welche Systeme Sie für den Stick verwenden möchten.
Nach dem einmaligen Download legen Sie mittels Häkchen vor den Virenscann­ern und Tools fest, welche Systeme Sie für den Stick verwenden möchten.
?? ?? SARDU lädt aktuelle Live-CDs populärer Virenscann­er aus dem Internet und schreibt die Systeme mit einem Multiboot-Auswahlmen­ü auf Ihren USB-Stick.
SARDU lädt aktuelle Live-CDs populärer Virenscann­er aus dem Internet und schreibt die Systeme mit einem Multiboot-Auswahlmen­ü auf Ihren USB-Stick.
?? ?? Ein Klick auf die Werkzeug-Schaltfläc­he links im Fenster bringt Sie zur Auswahl von gut 45 Administra­tor-Tools.
Ein Klick auf die Werkzeug-Schaltfläc­he links im Fenster bringt Sie zur Auswahl von gut 45 Administra­tor-Tools.
?? ?? An die 100 Linux-Distributi­onen, von Fedora über Mint bis hin zu Ubuntu, lassen sich auswählen.
An die 100 Linux-Distributi­onen, von Fedora über Mint bis hin zu Ubuntu, lassen sich auswählen.
?? ?? Die blauen Balken unten im SARDU-Fenster visualisie­ren den Fortschrit­t der Stick-Erstellung.
Die blauen Balken unten im SARDU-Fenster visualisie­ren den Fortschrit­t der Stick-Erstellung.
?? ?? Mit der QEMU- Funktion testen Sie das MultibootM­enü vor der Ausgabe der Daten auf den Stick.
Mit der QEMU- Funktion testen Sie das MultibootM­enü vor der Ausgabe der Daten auf den Stick.

Newspapers in German

Newspapers from Germany