Systeme nach Virenbefall säubern

1. Juli 2015

Generell sind drei unterschiedliche Herangehensweisen bei einem Befall wichtiger Systeme durch Schadsoftware zu betrachten. Zum Ersten können die Systembetreuer versuchen die befallenen Systeme mit entsprechenden Tools zu säubern. Zum Zweiten ist es denkbar, ein Backup des Systems einzuspielen, und das System so auf einen sicheren Zustand zurückzuversetzen. Als letzte Möglichkeit bietet sich noch eine komplette Neuinstallation des  Betriebssystems an, dabei werden die befallenen Festplatten in der Regel gelöscht und formatiert.

Allerdings weisen alle angesprochenen Möglichkeiten auch diverse Nachteile auf. Beispielsweise ist es relativ aufwendig, eine komplette Neuinstallation mit Erhalt der Benutzerdaten und den benötigten Anwendungen vorzunehmen. Zudem muss sichergestellt werden, dass die Daten der Nutzer das „frische“ Betriebssystem nicht wieder infizieren. Daher ist es sehr wichtig, diese fraglichen Daten auf Viren zu prüfen. Auch interessant ist die Frage nach dem letzten erfolgreichen Backup, und –ebenso genauso wichtig – die Frage wann der Sicherungsmechanismus zuletzt erfolgreich getestet wurde. Denn was helfen sauber geplante Backups, wenn die Datenrücksicherung nicht funktioniert? Oder falls der letzte erfolgreiche Sicherungslauf zu lange zurückliegt?

Neuinstallation

Einer der klassischen Problemlösungen besteht darin, das System neu zu installieren. Der Vorteil bei diesem Vorgehen liegt auf der Hand: Ein komplett „frisches und virenfreies Betriebssystem landet auf den Massenspeichermedien. Falls etwa die Installation von vertrauenswürdigen Medien aus (beispielsweise von einer Original-DVD) gestartet wird, so können sich die Administratoren dieser Sache relativ sicher sein. Allerdings müssen in der Regel nach der Grundinstallation noch Treiber und Windows-Updates aufgespielt werden. Kleinere Firmen haben meist keinen eigenen Windows-Update-Server (etwa per WSUS) im Netzwerk. Das hat den Nachteil, dass im nichtgepatchten Zustand oft eine Internetverbindung benötigt wird, um alle (Windows-) Updates zu laden. Unter Umständen kann das dann zu einer erneuten Vireninfektion führen.

Um automatisch die benötigten Anwendungen zu installieren (etwa Office, Bildbearbeitungsprogramme, PDF-Reader oder Branchen-Software) können die Systembetreuer meist auf aktuelle Installationsdateien zurückgreifen. Schließlich sind aktuelle Patches, Updates und Hotfixes eine der Grundvoraussetzungen für sichere Systeme. Eventuell lohnt sich hier ein Blick auf den Anwendungs-Installer von Ninite. Damit lassen sich viele Drittanbieterprogramme vollautomatisch in einem Rutsch installieren, zudem sorgt die Software dafür, dass keine Toolbars, Zusatzsoftware oder Browser-Umleitungen im Zuge der Installationen aktiv werden.

Daher müssen die Systembetreuer besonderes Augenmerk auf die kritischen Momente legen, und am besten bereits nach dem Abschluss der Windows-Installation einen aktuellen Virenschutz samt den tagesaktuellen Virensignaturen aufspielen. Viele Virenschutzlösungen bieten die Möglichkeit an, diese Signaturen an einem abgesicherten System herunterzuladen, auf ein entsprechendes Medium (etwa USB-Stick, NAS-Laufwerk oder ähnliches) zu speichern und auf dem frisch installierten System die Signaturen aus eben dieser Datei direkt nach der Virenscanner-Installation einzuspielen.

Zudem erweist es sich als sinnvoll, sämtliche Windows-Updates „offline“ auf frisch installierte Systeme (ohne Internetverbindung) zu bringen. Hier ist beispielsweise „WSUS Offline Update“ oder das „Update Pack“ von Winfuture zu nennen. Das Ganze ist auch bei den Treibern wichtig, um die Sicherheit zu erhöhen und das Infektionsrisiko zu minimieren laden die Systembetreuer benötigte Gerätetreiber auf einem sicheren System herunter, scannen diese nochmals auf Schadsoftware und übertragen diese Dateien danach auf die neu installierten Systeme.

Betriebssystem-Backup einspielen

Auch bei der Methode „Backup einspielen“ sind einige Dinge für den Administrator zu beachten: Zunächst klingt es sehr sinnvoll, kompromittierte Systeme über einen Restore auf einen Zustand vor der Infektion zu bringen. Aber es kann nicht in jedem Fall sichergestellt werden, dass die eingespielten Backup-Daten virenfrei sind. Eventuell ist das System ja bereits seit einem längeren Zeitraum mit Schadsoftware infiziert, und es befinden sich Viren, Trojaner oder Würmer gegebenenfalls  auf älteren Backup-Versionen.

Falls die Systembetreuer nun relativ weit in der Zeitleiste zurückgehen, und beispielsweise einen Sicherungssatz einspielen, der bereits Monate zurückliegt, so taucht auch hier das Problem auf, dass die Mitarbeiter trotzdem ihre aktuellen Dateien benötigen. Daher müssen auch bei dieser Vorgehensweise meist noch die aktuellen Benutzerdaten auf Viren geprüft werden, und gegebenenfalls neu eingespielt werden. Folglich gilt auch hier: Zuerst einmal wird ein Backup des aktuellen Zustands (also mit Viren) angelegt, um bei Bedarf einzelne Dateien zu extrahieren. Danach erst kommt eine Wiederherstellung in Frage. Manchmal ist es schon damit getan, ein oder zwei Tage „zurückzuspringen“, und die Administratoren finden ein sauberes System vor. Im Anschluss daran ist es sehr wichtig, das System nochmals auf den aktuellsten Software-Stand zu bringen, und sicherheitshalber mehrerer Virensuchläufe durchzuführen.

Säuberung und Erhalt des Betriebssystems

Bei der Virendesinfektion mit Erhalt des Betriebssystems sind ebenfalls einige Eigenheiten zu beachten. Eine der ersten Amtshandlungen stellt wie schon angesprochen eine Sicherung des „Ist-Zustands“ dar. Bei der Beseitigung der Schadsoftware hat es sich zum einen bewährt, mit einem „Rettungsmedium“ (etwa CD, DVD, oder USB-Stick) zu starten, und einen Virensuchlauf von diesem, externen System aus zu starten. So vermeidet der Systembetreuer, dass ein vermeintlich funktionierender, aber bereits kompromittierter Virenscanner den Säuberungs-Job übernimmt. Schließlich können bestimmte Viren, Trojaner oder sonstige Maleware die auf dem System befindlichen Anwendungen beeinflussen, und der Virenscanner ist somit nicht immer in der Lage eine Infektion einzudämmen.

Zum anderen können sehr wohl bestimmte Programme auf dem befallenen System herangezogen werden. Eines der besten Beispiele ist das Werkzeug „Combofix“. Wenn dieses Spezial-Tool auf einem infizierten System gestartet wird (zumeist im abgesicherten Modus), dann fördert dieses Werkzeug quasi die Viren unter dem Teppich zu Tage. Auch gut getarnte Root-Kits und Trojaner werden von Combofix recht zuverlässig entfernt. Nach dieser Säuberungsaktion ist es noch ratsam, einen weiteren Suchlauf mit einem effizienten Virenschutzprogramm durchzuführen, denn eventuell tauchen plötzlich noch weitere Schadprogramme auf, diese gilt es ebenfalls den Garaus zu machen.

Florian Huttenloher

Lesen Sie auch