Malware-Entfernung - Kurzanleitung
In den letzten Jahren haben wir gehört, dass viele Menschen und große Unternehmen ihre wertvollen Daten verlieren oder sich in einer Situation befinden, in der ihre Systeme gehackt werden. Diese unerwünschten Aktivitäten werden in den meisten Fällen durch eine Software verursacht, die in ein Netzwerksystem, einen Server oder einen Personal Computer eingefügt wird. Diese Software ist bekannt alsmalware.
Eine Malware kann einem System oder einem Netzwerk direkt Schaden zufügen oder sie dazu bringen, von anderen verwendet zu werden, anstatt wie von ihren Eigentümern beabsichtigt. Es ist eine Kombination aus zwei Wörtern:Mal Bedeutung Bad und Ware Bedeutung Software.
Basierend auf www.av-test.org wachsen die Statistiken enorm. Schauen Sie sich die folgende Grafik an, um das Wachstum von Malware zu verstehen.
Wie Sie sehen, wurden allein im Jahr 2016 mehr als 600.000.000 Malware entdeckt. Beyogen aufsecurelist.comsind die Länder, die Computer im Vergleich zu den saubereren infiziert haben -
Maximales Risiko (über 60%) 22 Länder einschließlich | ||
---|---|---|
Kirgisistan (60,77%) | Afghanistan (60,54%). | |
Hohes Risiko (41-60%): 98 Länder einschließlich | ||
Indien (59,7%) | Ägypten (57,3%) | Weißrussland (56,7%) |
Türkei (56,2%) | Brasilien (53,9%) | China (53,4%) |
VAE (52,7%) | Serbien (50,1%) | Bulgarien (47,7%) |
Argentinien (47,4%) | Israel (47,3%) | Lettland (45,9%) |
Spanien (44,6%) | Polen (44,3%) | Deutschland (44%) |
Griechenland (42,8%) | Frankreich (42,6%) | Korea (41,7%), |
Österreich (41,7%) | ||
Moderate lokale Infektionsrate (21-40,99%): 45 Länder einschließlich | ||
Rumänien (40%) | Italien (39,3%) | Kanada (39,2%) |
Australien (38,5%) | Ungarn (38,2%) | Schweiz (37,2%) |
USA (36,7%) | Großbritannien (34,7%) | Irland (32,7%) |
Niederlande (32,1%), | Tschechische Republik (31,5%) | Singapur (31,4%) |
Norwegen (30,5%) | Finnland (27,4%) | Schweden (27,4%), |
Dänemark (25,8%), | Japan (25,6%). |
Malware kann von den Hackern für verschiedene Zwecke entwickelt werden, z. B. zum Zerstören von Daten, zum automatischen Senden der Daten an einen anderen Ort, zum Ändern der Daten oder zum Überwachen bis zum angegebenen Zeitraum. Deaktivieren Sie Sicherheitsmaßnahmen, beschädigen Sie das Informationssystem oder beeinträchtigen Sie auf andere Weise die Daten- und Systemintegrität.
Sie gibt es auch in verschiedenen Arten und Formen, die wir in den kommenden Kapiteln dieses Tutorials ausführlich besprechen werden.
Um zu verstehen, wie Malware funktioniert, sollten wir zunächst die Anatomie eines Malware-Angriffs betrachten, der wie unten gezeigt in fünf Schritten unterteilt ist.
- Einstiegspunkt
- Distribution
- Exploit
- Infection
- Execution
Lassen Sie uns die oben genannten Punkte im Detail verstehen.
Einstiegspunkt
Eine Malware kann auf viele Arten in das System eindringen -
Der Benutzer besucht seine Lieblingswebsite, die kürzlich infiziert wurde. Dies kann ein Einstiegspunkt für eine Malware sein.
Wenn ein Benutzer auf eine URL klickt, die in einer E-Mail eingegangen ist, wird dieser Browser entführt.
Malware kann auch über infizierte externe Medien wie USB oder eine externe Festplatte übertragen werden.
Verteilung
Die Malware initiiert einen Prozess, der den Datenverkehr an einen Exploit-Server umleitet, der das Betriebssystem und Anwendungen wie Browser, Java, Flash Player usw. überprüft.
Ausbeuten
In dieser Phase wird die exploit wird versuchen, basierend auf dem Betriebssystem auszuführen, und wird einen Weg finden, das Privileg zu eskalieren.
Infektion
Jetzt lädt der erfolgreich installierte Exploit eine Nutzlast hoch, um den Zugriff aufrechtzuerhalten und das Opfer wie Remotezugriff, Hochladen / Herunterladen von Dateien usw. zu verwalten.
Ausführung
In dieser Phase beginnt der Hacker, der die Malware verwaltet, Ihre Daten zu stehlen, Ihre Dateien zu verschlüsseln usw.
Malwares sind vielfältig; Sie kommen aus verschiedenen Funktionen und verhalten sich in verschiedenen Situationen unterschiedlich. Einige der berüchtigtsten und gefährlichsten Arten von Malware sind nachstehend aufgeführt:
- Virus
- Adware
- Spyware
- Trojan
- Rootkits
- Botnets
- Lösegeld Ware
Lassen Sie uns jedes davon im Detail verstehen.
Virus
Virus ist ein Malware-Programm, das auf interessante Weise funktioniert. Dieses Programm führt sich selbst aus oder repliziert sich selbst, indem es einige Kopien von sich selbst in andere Computerprogramme, Bootsektoren, Datendateien, Festplatten usw. einfügt. Wenn der Replikationsprozess abgeschlossen ist, werden die betroffenen Bereiche als infiziert bezeichnet .
Viren werden entwickelt, um einige der schädlichsten Aktivitäten auf den Hosts auszuführen, wenn sie infiziert sind. Sie können die CPU-Zeit oder sogar den Speicherplatz auf der Festplatte stehlen. Sie können auch die Daten beschädigen und einige lustige Nachrichten auf dem Bildschirm des Systems anzeigen.
Adware
Diese Software ist hauptsächlich die werbefinanzierende Software. Ein Paket, das automatisch mit den darin enthaltenen Anzeigen geliefert wird. Daher kann es ein gutes Einkommen für den Eigentümer generieren.
Spyware
Spyware ist eine Software, die hauptsächlich zum Sammeln von Informationen über eine Organisation oder eine Person verwendet wird. Diese Informationen werden gesammelt, ohne dass jemand erfährt, dass die Informationen aus seinem System stammen.
Trojaner
Trojaner ist eine nicht selbstreplizierende Art von Malware. Es enthält bösartigen Code, der einige Aktionen ausführt, die von der Art des jeweiligen Trojaners abhängen. Dies geschieht nur bei der Ausführung. Das Ergebnis der Aktion ist normalerweise der Datenverlust und kann das System in vielerlei Hinsicht schädigen.
Rootkits
Rootkits sind die Stealth-Art von Malware. Sie sind so konzipiert, dass sie sich tatsächlich sehr gut verstecken können und es ziemlich schwierig ist, sie in einem System zu erkennen. Die normalen Nachweismethoden funktionieren bei ihnen nicht.
Botnets
Botnet ist eine Software, die auf einem Computer installiert ist, der über das Internet verbunden ist. Sie kann dabei helfen, mit anderen Programmen zu kommunizieren, sodass einige Aktionen ausgeführt werden können. Sie können mit der Kontrolle über einige IRC identisch sein, bei denen es sich um internetbezogene Diagramme handelt. Darüber hinaus kann es zum Versenden einiger Spam-E-Mails oder zur Teilnahme an der Verteilung von Denial-of-Services-Angriffen verwendet werden.
Lösegeld Ware
Ransom ware ist eine Software, die Dateien verschlüsselt, die sich auf den Festplatten befinden. Einige von ihnen können sogar dazu führen, dass der Person, die dieses Programm implementiert hat, einfach eine Nachricht über die Zahlung von Geld angezeigt wird.
Wenn ein Computer infiziert ist, treten im Allgemeinen einige Symptome auf, die auch einfachere Benutzer feststellen können.
Allgemeine Malware-Erkennungstechniken
Einige der am häufigsten verwendeten Malware-Erkennungstechniken sind wie folgt aufgeführt.
Ihr Computer zeigt ein Popup und eine Fehlermeldung an.
Ihr Computer friert häufig ein und Sie können nicht daran arbeiten.
Der Computer wird langsamer, wenn ein Programm oder ein Prozess gestartet wird. Dies kann im Task-Manager festgestellt werden, dass der Prozess der Software gestartet wurde, aber noch nicht zum Arbeiten geöffnet wurde.
Dritte beschweren sich, dass sie eine Einladung in sozialen Medien oder per E-Mail von Ihnen erhalten.
Änderungen an Dateierweiterungen werden angezeigt oder Dateien werden ohne Ihre Zustimmung zu Ihrem System hinzugefügt.
Der Internet Explorer friert zu oft ein, obwohl Ihre Internetgeschwindigkeit sehr gut ist.
Auf Ihre Festplatte wird die meiste Zeit zugegriffen, was Sie an der blinkenden LED Ihres Computers erkennen können.
Betriebssystemdateien sind beschädigt oder fehlen.
Wenn Ihr Computer zu viel Bandbreite oder Netzwerkressourcen verbraucht, handelt es sich um einen Computerwurm.
Der Festplattenspeicher ist ständig belegt, auch wenn Sie keine Maßnahmen ergreifen. Zum Beispiel die Installation eines Mew-Programms.
Dateien und Programmgrößen ändern sich im Vergleich zur Originalversion.
Fehler, die nicht mit Malware zusammenhängen
Die folgenden Fehler sind not related to Malware Aktivitäten -
Fehler beim Booten des Systems in der Bios-Phase, z. B. Anzeige der Batteriezellen von Bios, Anzeige des Timer-Fehlers.
Hardwarefehler wie Pieptöne, RAM-Brennvorgang, Festplatte usw.
Wenn ein Dokument nicht wie eine beschädigte Datei normal gestartet werden kann, können die anderen Dateien jedoch entsprechend geöffnet werden.
Tastatur oder Maus beantworten Ihre Befehle nicht. Sie müssen die Plug-Ins überprüfen.
Überwachen Sie das Ein- und Ausschalten des Monitors zu oft, z. B. durch Blinken oder Vibrieren. Dies ist ein Hardwarefehler.
Im nächsten Kapitel erfahren Sie, wie Sie sich auf das Entfernen von Malware vorbereiten.
Malware hängt sich an Programme an und überträgt sie unter Verwendung einiger Ereignisse an andere Programme. Sie benötigen diese Ereignisse, weil sie nicht selbst starten, sich nicht mit nicht ausführbaren Dateien übertragen und andere Netzwerke oder einen Computer infizieren können.
Um sich auf die Entfernungsphase vorzubereiten, sollten wir zunächst verstehen, welche Computerprozesse von der Malware verwendet werden, um sie zu töten. Welche Verkehrshäfen werden von ihnen verwendet, um sie zu blockieren? Welche Dateien beziehen sich auf diese Malware, damit wir sie reparieren oder löschen können? All dies beinhaltet eine Reihe von Tools, mit denen wir diese Informationen sammeln können.
Untersuchungsprozess
Aus den oben genannten Schlussfolgerungen sollten wir wissen, dass wir, wenn einige ungewöhnliche Prozesse oder Dienste von selbst ausgeführt werden, ihre Beziehungen zu einem möglichen Virus weiter untersuchen sollten. Der Untersuchungsprozess ist wie folgt:
Um die Prozesse zu untersuchen, sollten wir zunächst die folgenden Tools verwenden:
- fport.exe
- pslist.exe
- handle.exe
- netstat.exe
Das Listdll.exe zeigt alle dll filesdie verwendet werden. Dasnetstat.exeMit seinen Variablen werden alle Prozesse angezeigt, die mit ihren jeweiligen Ports ausgeführt werden. Das folgende Beispiel zeigt, wie ein Prozess vonKaspersky Antiviruswird einem Befehl netstat-ano zugeordnet, um die Prozessnummern anzuzeigen. Um zu überprüfen, zu welcher Prozessnummer es gehört, verwenden wir den Task-Manager.
Für Listdll.exe haben wir es von folgendem Link heruntergeladen - https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx und wir können es ausführen, um zu überprüfen, welche Prozesse mit der verwendeten DLL verbunden sind.
Wir öffnen CMD und gehen zum Pfad von Listdll.exe, wie im folgenden Screenshot gezeigt, und führen ihn dann aus.
Wir erhalten das Ergebnis wie im folgenden Screenshot gezeigt.
Zum Beispiel wird PID 16320 von der verwendet dllhost.exe, die eine Beschreibung hat COM Surrogateund auf der linken Seite. Es wurde die gesamte DLL angezeigt, die von diesem Prozess angezeigt wird. Diese können wir googeln und überprüfen.
Jetzt verwenden wir den Fport, der über den folgenden Link heruntergeladen werden kann: https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# um die Dienste und die PID den Ports zuzuordnen.
Ein weiteres Tool zur Überwachung der Dienste und zur Ermittlung des Ressourcenverbrauchs ist der „Prozess-Explorer“, der über den folgenden Link heruntergeladen werden kann: https://download.sysinternals.com/files/ProcessExplorer.zip und nachdem Sie es heruntergeladen haben, müssen Sie die exe-Datei ausführen und Sie werden das folgende Ergebnis sehen -
In diesem Kapitel erfahren Sie, wie Sie den Reinigungsprozess eines Computers durchführen, der mit einer beliebigen Art von Malware infiziert wurde. Befolgen wir die unten angegebenen Schritte.
Step 1- Zunächst müssen wir den Computer vom Netzwerk trennen. Dies kann eine Kabelverbindung oder eine drahtlose Verbindung sein. Dies geschieht so, dass der Hacking-Prozess die Verbindung zum Hacker verliert, sodass keine weiteren Daten mehr verloren gehen können.
Step 2 - Starten Sie den Computer in Safe ModeEs werden nur die minimal erforderlichen Programme und Dienste geladen. Wenn Malware beim Start von Windows automatisch geladen wird, kann dies durch Aufrufen dieses Modus verhindert werden. Dies ist wichtig, da dadurch die Dateien einfacher entfernt werden können, da sie nicht ausgeführt werden oder aktiv sind.
Starten eines Computers im abgesicherten Modus
Das Starten eines Computers im abgesicherten Modus kann von Windows 7 bis Windows 10 variieren. Für das Windows 10-Betriebssystem sind die Schritte wie folgt:
Step 1 - Drücken Sie die Windows logo key + Iauf Ihrer Tastatur, um Einstellungen zu öffnen. Wenn dies nicht funktioniert, wählen Sie die Schaltfläche Start in der unteren linken Ecke Ihres Bildschirms und dann Einstellungen. Wählen Sie Update & Sicherheit → Wiederherstellung.
Step 2 - Wählen Sie im Abschnitt Erweiterter Start die Option Jetzt neu starten.
Step 3 - Nachdem Ihr PC im Bildschirm Option auswählen neu gestartet wurde, wählen Sie Fehlerbehebung → Erweiterte Optionen → Starteinstellungen → Neustart.
Step 4- Nach dem Neustart Ihres PCs wird eine Liste mit Optionen angezeigt. Wählen Sie 4 oder F4, um Ihren PC im abgesicherten Modus zu starten. Wenn Sie das Internet verwenden müssen, wählen Sie 5 oder F5 für den abgesicherten Modus mit Netzwerk.
Temporäre Dateien löschen
Löschen Sie Ihre temporären Dateien. Auf diese Weise wird das Scannen von Viren beschleunigt, Speicherplatz freigegeben und sogar Malware entfernt. So verwenden Sie dieDisk Cleanup Utility, in Windows 10 enthalten, geben Sie einfach ein Disk Cleanup in der Suchleiste oder nach Drücken der Start-Taste und wählen Sie das angezeigte Werkzeug - Datenträgerbereinigung.
Stoppen Sie den Malware-Prozess, der möglicherweise damit zusammenhängt
Wir werden versuchen, alle damit verbundenen schädlichen Prozesse zu beenden. Dazu verwenden wir Rkill, das einfach über den folgenden Link heruntergeladen werden kann: www.bleepingcomputer.com/download/rkill/
Laden Sie den Malware-Scanner herunter und starten Sie einen Scan
Wenn auf Ihrem Computer bereits ein Antivirenprogramm aktiv ist, sollten Sie für diese Malware-Prüfung einen anderen Scanner verwenden, da Ihre aktuelle Antivirensoftware die Malware möglicherweise nicht erkannt hat. Die meisten der bekannten Antivirensoftware sind im folgenden Screenshot dargestellt.
Wir sollten verstehen, dass Viren externe Computer nur mit Hilfe eines Computerbenutzers infizieren. Dies kann wie das Klicken auf eine Datei, die mit einer E-Mail einer unbekannten Person angehängt ist, das Anschließen eines USB-Sticks ohne Scannen, das Öffnen unsicherer URLs usw. aus solchen Gründen sein Als Systemadministratoren müssen wir die Administratorrechte von Benutzern auf ihren Computern entfernen.
Einige der häufigsten Verbote für das Eindringen von Malware in ein System sind:
Öffnen Sie keine E-Mail-Anhänge von unbekannten Personen oder sogar von bekannten Personen, die verdächtigen Text enthalten.
Akzeptieren Sie keine Einladung von unbekannten Personen in sozialen Medien.
Öffnen Sie keine URL, die von unbekannten oder bekannten Personen in seltsamer Form gesendet wurde.
Einige andere wichtige Hinweise, um Ihr System auf dem neuesten Stand zu halten, sind:
Aktualisieren Sie das Betriebssystem in regelmäßigen Abständen.
Installieren und aktualisieren Sie die Antivirensoftware.
Jeder Wechselspeicher, der von Dritten stammt, sollte mit aktualisierter Antivirensoftware gescannt werden. Beachten Sie auch die folgenden Aspekte.
Überprüfen Sie, ob Ihr Monitor einen Bildschirmschoner verwendet.
Überprüfen Sie, ob die Computerfirewall aktiviert ist.
Überprüfen Sie, ob Sie regelmäßig Backups durchführen.
Überprüfen Sie, ob Freigaben vorhanden sind, die nicht nützlich sind.
Überprüfen Sie, ob Ihr Konto über volle oder eingeschränkte Rechte verfügt.
Aktualisieren Sie andere Software von Drittanbietern.
Verwalten von Malware-Risiken
Das Management von Malware-Risiken richtet sich hauptsächlich an Unternehmen, die sich nicht an einzelne Computerbenutzer halten. Um das Risiko von Malware zu bewältigen, gibt es einige Schlüsselfaktoren, die die verwendeten Technologien akzeptieren, und einen menschlichen Faktor. Das Risikomanagement hat mit der Analyse zu tun, mit der Malware-Risiken identifiziert und nach den Auswirkungen priorisiert werden, die sie auf Geschäftsprozesse haben können.
Um das Risiko von Malware in einem mittelgroßen Geschäftsumfeld zu verringern, sollten wir die folgenden Punkte berücksichtigen:
- Gemeinsame Informationssystem-Assets
- Häufige Bedrohungen
- Vulnerabilities
- Benutzererziehung
- Abwägen von Risikomanagement und Geschäftsanforderungen
Im nächsten Kapitel lernen wir einige wichtige Tools zum Entfernen von Malware kennen.
In den vorherigen Kapiteln haben wir besprochen, was Malware ist, wie sie funktioniert und wie sie gereinigt werden kann. In diesem Kapitel sehen wir jedoch die andere Seite des automatisierten Schutzes, die als Anti-Malware oder Antivirus klassifiziert sind. Die Verwendung dieser Software ist heutzutage sehr wichtig, da, wie wir in den früheren Kapiteln gesehen haben, die Anzahl der Malware exponentiell zunimmt und es unmöglich ist, sie zu erkennen.
Jeder Hersteller von Anti-Malware verfügt über seine eigenen Technologien und Techniken zur Erkennung von Malware. Erwähnenswert ist jedoch, dass diese sehr schnell erkannt werden, da sie fast täglich mit den neuen Malware-Erkennungen aktualisiert werden.
Einige der weltweit bekanntesten und effektivsten Anti-Malware- oder Antivirenprogramme werden im Folgenden aufgeführt.
McAfee Stinger
HijackThis
Malwarebytes
Kaspersky Endpoint Security 10
Panda Free Antivirus
Spybot Search & Destroy
Ad-Aware Free Antivirus +
AVG Antivirus 2016
SUPERAntiSpyware
Microsoft Security Essentials