Entfernungsprogramme

Entfernungsprogramme

Immer wieder werden Sie in Zusammenhang mit einer aktuellen Wurm- oder Virusmeldung Verweise auf sogenannte Removal-Tools finden. Die beiden bekanntesten sind der "Stinger" von McAfee und die "Removal Tools" von Symantec. Diese werden u.a. auch vom Bundesamt für Sicherheit in der Informationstechnik angepriesen, um die Infektion mit einem Wurm rückgängig zu machen und den Schädling von der Festplatte zu löschen.

Warum diese Programme, die einen Schädling ohne eine Neuinstallation beseitigen sollen, meist nicht das bieten können, was sie können sollen, zeigen die folgenden Punkte.

Unbekannter Code wird nachgeladen

Zunächst muß man sich klar machen, was moderne Schadsoftware heutzutage auf einem Computer zu tun vermag. Die erste Funktion ist das Nachladen von Code aus dem Internet.
Dabei werden anfangs die Quellen, auf denen die nachzuladende Software liegt, überhaupt nicht überprüft. Erst wenn bekannt ist, von welchem Server Code nachgeladen wird, wird dieser Computer eventuell abgeschaltet.
Niemand kann aber nachvollziehen, welche Software nun dort zum Zeitpunkt der Infektion gespeichert war. Demnach kann auch ein Programm, welches einen Schädling entfernen soll, dies nicht wissen. Denn Art und Eigenschaften der nachzuladenden Software können sich innerhalb von Stunden verändern.
Die logische Konsequenz : Software, die dem Programm nicht bekannt ist, kann auch nicht von ihm entfernt werden. Selbst wenn Sie also den Schädlings als solchen löschen können, verbleibt möglichweise immer noch die hinzugeladene Software, wobei es sich durchaus auch um eine Backdoor- oder Spionage-Funktion handeln kann.

Es existieren mehrere Varianten

Das zweite Problem liegt im Schädling selbst. Kein Antivirenprogramm kennt einen Wurm oder Trojaner vollständig, sondern immer nur einen ganz bestimmten, für diesen einen Schädling charakteristischen Abschnitt, die sogenannte Signatur.
Demnach kann ein Removal-Tool auch nur solche Schädlinge erkennen, deren Signaturen es selbst kennt. Eine Abweichung vom Code, eine sogenannte Variante, wird dann oftmals nicht erkannt.

Dieser Umstand ist auch den Autoren von Schadsoftware klar. Aus diesem Grunde erscheinen in relativ kurzen Zeitabständen sehr viele Varianten eines Schädlings, die auch unterschiedliche Funktionalitäten aufweisen können.
Weiterhin sind Removal-Tools nicht in der Lage selbst zu entscheiden, welcher Code denn nun zu einem Wurm gehört und mithin eine Schadfunktion darstellt.

Die Registrierung wird verändert

Eine weitere Funktion heutiger Schadsoftware ist das Verändern der Systemregistrierung, einer Einrichtung, die das Gehirn jedes Windows Systems darstellt, da dort für nahezu die gesamte Software des Computers wichtige Einstellungen gespeichert sind. Meist werden von einem Schadprogramm jedoch Einstellungen gemacht, die eine Verbreitung des Schädlings begünstigen, den Start von Antivirenprogrammen unterbinden oder den eigenen Aufruf beim Systemstart sicherstellen.

Die Hersteller von Entfernungssoftware versprechen, dass Änderungen an der Registrierung rückgängig gemacht werden. Wenn das wirklich reibungslos funktioniert, müssen die Softwareentwickler von Symantec hellseherische Fähigkeiten besitzen. Denn
  • jede Variante eines Schädlings kann andere Einstellungen machen.
  • die Hersteller müssen wissen, welcher Wert zu welchem Zeitpunkt in welchem Schlüssel der Registrierung eines ganz bestimmten Computers irgendwo auf der Welt stand
  • die Hersteller müssen wissen, von welchem Schädling die Änderungen gemacht wurden
  • die Hersteller müssen wissen, welche Variante des Schädlings vorlag
  • die Hersteller müssen davon ausgehen, ob der jeweilige Schlüssel der Registrierung Standardwerte enthielt
Allenfalls ist es möglich, Einträge in der Systemregistrierung zu entfernen, die der Schädling angelegt hat, was auch tatsächlich viele Schadprogramme tun.

Manipulation von außen

Eine besondere Spezialität heutiger Schadsoftware ist das Einrichten von sogenannten Backdoors. Über diese Hintertüren kann der Absender des Schadprogramms auf den befallenen Rechner gelangen und dort noch einmal selbst "Hand anlegen", ob nun automatisch über den eingeschleusten Schädling oder selbst.

Kommt es erst einmal soweit, hilft das beste Removal-Tool nichts mehr. Denn was ein Mensch auf einem Computer verändert, kann ein Programm nicht erkennen. Im schlimmsten Falle löscht der Täter den ersten Schädling und schleust einen zweiten, weitaus harmloseren Schädling ein, der quasi dem Antivirenprogramm als Kanonenfutter vorgeworfen wird. Dieser zweite Wurm besitzt dann keine bedeutenden Funktionen wie etwa eine Backdoor. Die Tarnung ist perfekt.

Fazit : nur eine Neuinstallation hilft

Wenn der Fall einer Infektion aufgetreten ist, gibt es für den Heimanwender kaum eine praktikable Lösung, um den Rechner wieder zu säubern und in einen vertrauenswürdigen Zustand zu versetzen. Die einzige wirklich brauchbare Lösung ist eine vollständige Neuinstallation des Systems mit anschließender umfassender Absicherung. Denn je nachdem mit welchem Schädling der Computer infiziert ist, wäre eine andere Vorgehensweise grob fahrlässig.