Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Training am System

Virenbekämpfung will geübt sein

Copyright (C) 04/2003 by Howard Fuhs


Ohne von der computeranwendenden Allgemeinheit groß beachtet zu werden, hat sich in den letzten Jahren eine Softwarekategorie zur zweitwichtigsten nach dem eigentlichen Betriebssystem erhoben. Die Antiviren-Software. Egal was mit einem Computer auch gemacht wird, ob einfache Textverarbeitung, komplexe Datenbankanwendungen oder Datenverarbeitung im Produktionsbereich (CAD,CAM,CAE), sobald der Computer vernetzt ist oder von außen Daten zugeführt bekommt, muss praktisch zum Schutz des Systems ein AV-Programm seinen Dienst versehen. Nur so kann ein Computersystem vor Viren, Würmern und Trojanern (zusammengefasst unter dem Oberbegriff Malware) mehr oder weniger effizient geschützt werden. Damit ist bei der heutigen Bedrohungslage ein AV-Programm kein optionaler Luxus mehr, sondern vielmehr zwangsläufige Pflicht. Zuerst das Betriebssystem, dann das AV-Programm und dann erst wird über die weitere Verwendung des Computers im Unternehmen entschieden und die dafür nötige Software aufgespielt. AV-Software ist heute zu bezahlbaren Preisen zu haben, für Privatanwender oftmals sogar kostenlos. Es gibt also keine Entschuldigung mehr AV-Software nicht einzusetzen.

Eine der Eigenschaften von AV-Software ist, dass die Software vom Anwender unbemerkt im Hintergrund herumwerkelt und ihren Job versieht. Der Anwender selbst bekommt von dieser Arbeit nichts mit, solange keine infizierte Datei auf den Rechner kopiert wird. Doch dieses unbemerkte Arbeiten im Hintergrund kann auch zu gewissen Problemen in der Praxis führen. Dann nämlich, wenn der Computer infiziert wird und der Anwender nicht mit dem AV-Programm umgehen kann. Die Situation kann sich sogar noch verschlimmern, wenn sich der Anwender auf zugesagte Eigenschaften gemäß Handbuch des AV-Programms verlässt, diese aber nicht so wie angegeben funktionieren. Ein Beispiel aus der Praxis.

Mit einem automatischen Software-Update aus dem Internet hatte sich gleichzeitig ein Wurm auf dem Computer eingenistet und versuchte sich selbst über aktive Netzwerkverbindungen an andere IP-Adressen zu kopieren. Ärgerlicherweise war der Wurm auf seinem Weg durch das Internet auf einem Computer von einem Virus infiziert worden, was dazu führte, dass der Rechner nun nicht nur einen Wurm beherbergte, sonder darüber hinaus auch noch von einem Virus infiziert wurde. Geschehen konnte das alles nur, weil für den Vorgang des Online-Updates kurzzeitig das AV-Programm abgeschaltet werden musste.

Beim Einschalten des AV-Programms kam es dann zu einer unangenehmen Überraschung. Der speicherresidente Hintergrundwächter des AV-Programms meldete einen Virus im Hauptspeicher des Systems mit dem Hinweis, der Virus sei erfolgreich aus dem Speicher entfernt worden. Der daraufhin gestartete On-Demand-Scanner meldete sich selbst als infiziert und startete nicht, was eine durchaus sinnvolle Sicherheitsvorkehrung ist. Da der Hintergrundwächter nach wie vor darauf beharrte, den Virus aus dem Hauptspeicher entfernt zu haben, lag es also nahe, den infizierten Rechner über eine Netzwerkverbindung mit einem Testrechner zu scannen. Dieser Scan brachte nicht nur viele unterschiedliche Viren zutage, sondern auch das praktisch jede Datei infiziert war. Alleine die Tatsache, dass der Scan über das Netzwerk nicht weniger als 6 verschiedene Windows-Viren auf dem infizierten System meldete, veranlasste zur Skepsis gegenüber dem Scanresultat. Es widerspricht praktischen Erfahrungen mit dem Infektionsverhalten von Computerviren und spricht eher für das Vorhandensein eines aktiven Virus im Hauptspeicher des infizierten Systems.

Nach mehreren erfolglosen Versuchen, das System mit den vorhandenen Mitteln und nach Herstelleranleitung der AV-Software zu desinfizieren wurde ein anderer Weg eingeschlagen. Aus dem Internet wurde eine AV-Software für DOS heruntergeladen und das System wurde mit einer Bootdiskette gestartet. Nachdem das AV-Programm für DOS installiert war, sah die Situation wie folgt aus. Es waren praktisch alle ausführbaren Dateien infiziert, aber nur mit einem einzigen Virus und nicht, wie vorher gemeldet, von unterschiedlichen Computerviren. Auch der Wurm wurde nun zuverlässig erkannt und seine Dateien sowie Registry-Einträge gelöscht. Zwar konnten alle infizierten Dateien desinfiziert werden, doch der erste Bootvorgang mit Windows brachte soviele Fehlermeldungen von DLL-Dateien, dass über das Netzwerk ein System-Backup eingespielt werden musste, um Windows wieder vernünftig ins Laufen zu bringen.

Der hier kurz geschilderte Vorfall dauerte insgesamt 9 Stunden an. Erst als der Anwender erkannte, dass die Vorgehensweise nach Anleitung des Herstellers anscheinend nicht funktionierte, fühlte er sich von der Situation überfordert und holte fachmännischen Rat ein. Von der Entdeckung der Infektion bis zum ersten Booten des wiederhergestellten Systems wurden von drei beteiligten Personen 22 Arbeitstunden aufgewendet. Es kam zu keinem Datenverlust. Besonders hervorzuheben ist die Tatsache, dass trotz aller Versprechen der AV-Industrie -was die "modernen" Programme angeht- ein AV-Programm für das gute "alte" DOS die letzte Möglichkeit bot, das System zu desinfizieren und soweit wiederherzustellen, dass über das Netz ein entsprechendes Backup eingespielt werden konnte.

Dieser Vorfall hat in der Praxis ganz treffend gezeigt, dass auf die Herstellerbeschreibungen wie im Notfall bei einer Computervireninfektion zu verfahren ist, nicht immer Verlass ist. Besonders ärgerlich war die Falschmeldung des AV-Programms, es hätte den aktiven Virus erfolgreich aus dem Hauptspeicher entfernt. Darauf hat sich der Anwender verlassen und entsprechend weitere Schritte zur Beseitigung der Infektion eingeleitet. Es empfiehlt sich deshalb, den Umgang mit einer AV-Software im Notfall an einem Testsystem zu üben und zu trainieren. Zumindest sollten das die Systemadministratoren tun. Darüber hinaus sollte es Anwendern verboten werden, einen Virus ohne fachliche Unterstützung durch Systemadministratoren zu bekämpfen.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 04/2003 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher