Spyware-Fokus Teil 2
Überblick
Im ersten Teil sprachen wir darüber, welche Spywareformen es gibt und über welche Wege sie in ein System gelangen können. In diesem Teil geht es darum, wie verhindert werden kann, dass Spyware im System installiert wird. Darüber hinaus kommen Fälle zur Sprache, in denen Spyware bereits Zugang zum System gefunden hat, und es wird beschrieben, wie diese wieder entfernt werden kann. Wir sprechen außerdem darüber, welche Einstellungen die Sicherheit eines Systems im Hinblick auf Spyware erhöhen können, und gehen kurz auf die Verwendung von Software zum Neutralisieren von Spyware ein.
Symptome einer Spyware-Infektion
Es gibt mehrere Symptome, die auf mögliche Spyware-Aktivitäten auf einem Computer schließen lassen. Die Startzeit des Computers hat sich möglicherweise erheblich verlängert, der Rechner arbeitet deutlich langsamer als gewohnt, oder es tritt Netzwerkverkehr auf, obwohl alle Programme geschlossen sind. (Letzteres stellt das sicherste Zeichen einer möglichen Infektion dar, auch wenn Software-Updates, wie z. B. Windows Update, ebenfalls dafür verantwortlich sein können). Veränderungen an der Standardseite Ihres Browsers und der Suchseite, zahlreiche Popupfenster, die keinen Bezug zu haben scheinen, unerwünschte Symbolleisten, unbekannte Favoriten und zusätzliche Desktopsymbole – all das können Anzeichen einer Spyware- oder Adware-Infektion sein.
Spyware-Beseitigung
Es stehen einige kostenlose Dienstprogramme wie Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html) und Port Explorer (http://www.diamondcs.com.au/portexplorer/) zur Verfügung, die verdächtige Programme auf Ihrem Computer erkennen und Sie über das Vorhandensein von Spyware informieren.
Leider greifen Spyware-Programmierer oft recht tief in die Trickkiste, um das Beseitigen ihrer Produkte zu verhindern (sie gehen dabei sogar so weit, den Zugriff auf Sicherheitsseiten im Internet zu blockieren). Bei einigen Spyware-Typen (besonders hervorzuheben sind hier CoolWebSeach und ISTBar) können zudem weiterführende Schritte erforderlich sein, um sie komplett aus dem System zu entfernen. In solchen Fällen wird empfohlen, HijackThis! herunterzuladen, ohne es sofort auszuführen. (Die Software ist u. a. verfügbar auf http://tomcoyote.com/hjt/ und http://aumha.org/freeware/freeware.php, eine kurze Einführung gibt es auf http://aumha.org/a/hjttutor.php). Ein Besuch der auf der Homepage der Alliance of Security Analysis Professionals aufgelisteten Foren ist ebenfalls empfehlenswert (http://asap.maddoktor2.com/).). Lesen und befolgen Sie die Anweisungen zur Verwendung von HijackThis! (nicht alle HJT-Log-Dateien werden akzeptiert) und zum Übertragen der Ergebnisse, um entsprechende Ratschläge zu erhalten. Bedenken Sie, dass die HJT-Analyse viel Zeit und Fachwissen erfordert. Beschränken Sie sich daher auf ein Forum, und befolgen Sie die dort erhaltenen Anweisungen.
Im schlimmsten Fall (wenn z. B. ein Rootkit Windows so modifiziert, dass Spyware unerkannt bleibt) kann es erforderlich sein, die Festplatte zu formatieren und Windows neu zu installieren. Dies sollte allerdings als letzter Ausweg betrachtet werden, da die Formatierung mit dem Verlust sämtlicher Daten des Systems einhergeht. Wenn es die Situation jedoch erfordert, sollten Sie wie folgt vorgehen:
- Kopieren Sie wichtige Daten (Dokumente, Fotos, Passwörter, Software-Registrierungen usw.).
- Fertigen Sie eine Kopie Ihrer Sicherheitssoftware an (sollte Ihre Outpost-Lizenz noch gültig sein, laden Sie auch eine neue Version von Outpost herunter).
- Drucken Sie die Hinweise zur Durchführung einer Neuinstallation aus. (Sie haben mit diesem PC Zugang zum Internet bis der Prozess abgeschlossen ist.) Für Windows XP finden Sie diesbezügliche Anweisungen auf http://www.microsoft.com/windowsxp/using/setup/expert/honeycutt_02october07.mspx.
- Installieren und konfigurieren Sie Ihre Sicherheitssoftware.
- Stellen Sie eine Verbindung zum Internet her, und aktualisieren Sie Windows.
Wenn eines der zuvor genannten Programme einen Keylogger (Programme, die jede Benutzereingabe protokollieren, um Passwörter auszuspionieren) entdeckt hat, besuchen Sie alle Websites, auf denen Sie Benutzernamen und Passwörter eingeben müssen – dies betrifft insbesondere Websites für Online-Banking und ‑Aktienhandel – und informieren Sie die Betreiber darüber, dass Ihr Account möglicherweise nicht mehr sicher ist. Dies muss schnell geschehen, um mögliche finanzielle Verluste zu vermeiden (einige Banken lehnen eine Entschädigung ab, wenn Spyware für den Betrug verantwortlich war).
Erhöhung der Sicherheit
Die häufigste Ursache für Spyware-Infektionen ist ein unsicherer Browser. Werden Spyware-verteilende Websites besucht, kann die Installation von Spyware automatisch erfolgen. (Auf http://www.benedelman.org/ sind einige solcher Beispiele zu finden.) Benutzer von Windows XP sollten in jedem Fall das Service Pack 2 (http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&DisplayLang=en) installieren und anschließend über den Windows Update Service alle verfügbaren Sicherheits-Updates von Microsoft herunterladen (windowsupdate.microsoft.com), um bestehende Sicherheitslücken in Windows zu schließen. (Dies gilt auch für andere Windows-Versionen.) Benutzer von Internet Explorer sollten als Minimalmaßnahme zunächst die Sicherheitsstufe des Browsers auf „Mittel“ und die Einstellung für die Ausführung von ActiveX-Steuerelementen und Plug-Ins auf „Prompt“ stellen, um die automatische Ausführung von Webseiteninhalten zu verhindern, mit denen Spyware installiert werden könnte. Durch diese Veränderung werden auf Websites, die ActiveX verwenden, möglicherweise zahlreiche Bestätigungsfenster angezeigt. Um diesen Umstand zu mildern, können IE-Benutzer einen Filter verwenden (z. B. den Outpost-Filter für aktive Inhalte) und ActiveX standardmäßig blockieren. Wenn eine von Ihnen als vertrauenswürdig eingestufte Webseite ActiveX erfordert, kann sie in eine Liste mit vertrauenswürdigen Websites eingetragen werden, um die Verwendung von ActiveX-Elementen auf dieser Seite zu erlauben.
Viele Anwender verwenden einen alternativen Browser, um die Gesamtsicherheit des Systems zu erhöhen und sich vor Spyware zu schützen. Diese Browser funktionieren allerdings teilweise nicht mit Microsoft-Diensten (wie z. B. Windows Update, das die Verwendung von Internet Explorer und ActiveX erfordert) und IE-spezifischen Webseiten. Für die Mehrheit aller Webseiten bieten sie im Vergleich mit IE jedoch Vorteile im Hinblick auf Usability und Performance (z. B. Tab-Browsing, schneller Suchmaschinenzugriff, präzisere Steuerung der Anzeige von Webseiten und bessere Kompatibilität mit Standards). Der Vorteil dieser Browser besteht darin, dass sie einen effektiveren Schutz gegen Spyware bieten und häufiger aktualisiert werden als Internet Explorer. Für einen Sicherheitsvergleich stellt der Dienstleister Secunia Listen mit Anfälligkeiten für Internet Explorer 6 (http://secunia.com/product/11/), Firefox (http://secunia.com/product/4227/) und Opera (http://secunia.com/product/4932/) zur Verfügung.Browser wie Firefox (http://www.mozilla.org/products/firefox) und Opera (http://www.opera.com) werden immer beliebter. Beide sind kostenlos erhältlich (Opera in der Version 8.50 erstmals werbefrei).
Es ist überaus wichtig, bei „Streifzügen“ durch das Internet grundlegende Vorsichtsmaßnahmen zu treffen. So sollten niemals Dateien geladen, geschweige denn ausgeführt werden, die aus zweifelhaften Quellen stammen. Dies gilt insbesondere für File-Sharing-Netzwerke, Internet Relay Chat, Usenet und „warez“-Webseiten.
Wenn Sie unbekannte oder zweifelhafte Websites besuchen möchten, sollte die Browser-Sicherheit auf die höchstmögliche Stufe eingestellt werden („Eingeschränkte Sites“ in IE).
Spam ist eine populäre Methode, um Anwender auf Malware-Webseiten zu lotsen. (Ein beliebter Trick ist die Ankündigung, dass Ihre Kreditkarte mit einem bestimmten hohen Betrag belastet wird, wenn Sie nicht auf einen bestimmten Link klicken.) Lassen Sie daher äußerste Vorsicht walten, wenn Ihnen derartige E-Mails zugehen, und verwenden Sie niemals Internet Explorer, um herauszufinden, was sich hinter einem bestimmten Link verbirgt (oft werden erst kürzlich erkannte und daher in IE noch nicht geschlossene Sicherheitslücken ausgenutzt).
Spyware-Beseitigung mit spezieller Software
Vorsorge ist besser als Heilen. Dieses Prinzip gilt auch für Spyware. Ist diese erst einmal im System installiert, ist es teilweise sehr schwer, sie wieder zu entfernen. Daher ist es sinnvoll, immer für das Vorhandensein aktueller Software zur Erkennung und Beseitigung von Spyware auf Ihrem PC zu sorgen. (Antivirensoftware kann Malware zwar oft erkennen, erweist sich i. d. R. aber weniger effektiv bei der Beseitigung vorhandener Infektionen.) Eine Firewall und ein Spyware-Scanner bieten dagegen ausreichenden Schutz vor Spyware-Infektionen (besonders dann, wenn die Firewall das Filtern von Webseiten ermöglicht, wie z. B. das Outpost-Plug-In für aktive Inhalte). Eine korrekt konfigurierte Firewall ermittelt (und ermöglicht die Blockierung) alle(r) möglichen Versuche von Spyware, über das Internet zu kommunizieren (die Spyware muss zwar immer noch entfernt werden, aber die größte Gefahr besteht ja im Versand persönlicher Informationen an den Spyware-Verteiler). Ein guter Spyware-Scanner ist in der Lage, Spyware auf der Festplatte oder im Speicher zu erkennen und zu entfernen. Outpost Firewall PRO Version 3.0 vereint die Funktionalität beider Sicherheitsprodukte und bietet so umfassenden Schutz vor Spyware.
Zusammenfassung
Spyware ist ein gefährliches und in zunehmendem Maße kompliziertes Problem und muss daher von mehreren Seiten angegangen werden. Eine davon ist die sichere Einstellung des Systems, die andere hängt von der Wahl der richtigen Sicherheitssoftware ab. Wir von Agnitum tun unser Möglichstes, um sicherzustellen, dass Sie mit den besten Mitteln ausgestattet und somit jederzeit vor Spyware geschützt sind.
|
