Malware Removal Starter Kit

Reaktionsplanung

Eine Planung kann erst dann vollständig sein, wenn Sie auch den schlimmsten Fall berücksichtigt haben. Wenn Ihre gesamte Verteidigung durch einen Angriff kompromittiert wurde, dann sollten Ihre Mitarbeiter wissen, was zu tun ist. Die Möglichkeit einer schnellen Reaktion kann bei einem schweren Angriff den entscheidenden Unterschied ausmachen.

Wenn Sie die Reaktionsplanung durchführen, sollten Sie berücksichtigen, dass eine Überreaktion auf ein Malware-Problem genauso viele Probleme aufwerfen kann wie eine tatsächliche Verbreitung der Malware. Planen Sie Ihre Reaktion so, dass sie schnell und mit minimalen Auswirkungen auf die Mitarbeiter des Unternehmens durchgeführt werden kann.

Auf dieser Seite

Erstellen Sie einen Notfallreaktionsplan
Vorbereitung auf ein Offline-Scannen

Erstellen Sie einen Notfallreaktionsplan

Erstellen Sie einen Notfallreaktionsplan, in dem beschrieben wird, was bei einem vermuteten Malware-Angriff wichtig ist. Der Plan sollte Informationen für alle von dem Vorfall betroffenen Mitarbeiter enthalten. Er sollte versuchen, die Auswirkungen des Angriffs so gering wie möglich zu halten und ein Notfallreaktionsverfahren definieren, dem die Mitarbeiter folgen können. Ein sauber designter Plan kann zum Beispiel das folgende Verfahren definieren:

1. Ein Mitarbeiter ruft beim Inhouse-Support an und meldet ein eigenartiges Verhalten seines Computers.

2. Der Supportmitarbeiter prüft den Computer und leitet den Vorfall an einen Supporttechniker weiter.

3. Ein Supporttechniker führt daraufhin eine kurze Diagnose durch und behebt das Problem oder installiert das System neu (je nach Schweregrad des Problems).

Der gesamte Reaktionsprozess kann unter Umständen Stunden dauern. Einen Plan zu haben, sorgt in diesem Fall dafür, dass sich die Malware weniger stark ausbreiten kann, bevor der Prozess abgeschlossen ist. Wenn der Supportmitarbeiter zum Beispiel einen Virenscanner ausführen kann und im Zweifelsfall das Netzwerkkabel vom betroffenen Rechner entfernt, dann ist die Chance für eine Ausbreitung der Malware deutlich geringer.

Bei der Erstellung des Notfallreaktionsplanes müssen normalerweise zwei Szenarien berücksichtigt werden:

• Einzelne Infektion: Dieses Szenario ist das häufigste. In ihm ist nur ein Computer von der Malware betroffen.

• Masseninfektion: Dieses Szenario ist zum Glück weniger häufig. Eine Masseninfektion hat das Potenzial, für deutliche Probleme in einem Unternehmen zu sorgen. Ein solches Szenario ist normalerweise dann vorhanden, wenn an vielen verschiedenen Stellen die gleichen Probleme auftreten.

Ihr Notfallwiederherstellungsplan kann beide Szenarien abdecken. Das Reaktionsverfahren auf eine Masseninfektion ist normalerweise nur eine Erweiterung des Verfahrens für eine einzelne Infektion. Bei einem typischen Verfahren für eine Masseninfektion wird normalerweise das Netzwerk des Unternehmens isoliert und so eine weitere Verbreitung des Problems verhindert. Die IT-Mitarbeiter haben dann Zeit, die betroffenen Systeme zu reparieren. In einigen Fällen kann es notwendig sein, die Firewall- oder Routerkonfiguration zu ändern, bevor die Computer wieder mit dem Netzwerk verbunden werden. Wenn die Malware zum Beispiel einen bestimmten Port zur Infektion der Computer nutzt, kann dieser blockiert werden.

**  Wichtig:**

Wenn Sie eine Malware bemerken, nachdem Sie Ihren Computer mithilfe des Starter-Kits bereinigt haben, empfehlen wir Ihnen, diesen auszuschalten und für fünf bis zehn Werktage (oder bis zur Veröffentlichung eines Signaturupdates durch Ihren Antiviren-Anbieter) nicht zu nutzen. Danach können Sie mit dem Starter-Kit die aktuellsten Signaturdateien herunterladen und Ihren Computer erneut scannen.

Weitere Informationen zur Entwicklung von Notfallreaktionsplänen finden Sie unter:

• Leitfaden zur erfolgreichen Virenabwehr

• Reaktion auf Sicherheitsverletzungen

• Kapitel 3 des Sicherungshandbuch Windows 2000 Server (engl.)

• Im Abschnitt SMF Incident-Management (engl.) des Microsoft Operations Framework (MOF) (engl.)

• Im Windows Security Resource Kit (2. Auflage) von Microsoft Press (engl.)

Vorbereitung auf ein Offline-Scannen

In diesem Abschnitt finden Sie Empfehlungen, Spezifikationen und kurze Arbeitsanweisungen, mit denen Sie ein Windows Preinstallation Environment-Kit (Windows PE) erstellen können. Sie können das Kit zusammen mit anderen Tools dazu nutzen, Offline-Scans nach Malware durchzuführen.

Windows PE stellt leistungsstarke Tools für Windows-Betriebssysteme bereit. Mit Windows PE können Sie Windows von einem Wechseldatenträger aus starten und haben Ressourcen zur Fehlersuche auf dem Clientcomputer zur Hand. Weitere Informationen zu Windows PE finden Sie im Dokument Technische Übersicht zu Windows Preinstallation Environment (engl.).

Nicht unterstützte Tools und Technologien

Die folgenden Tools und Technologien werden von Windows PE nicht unterstützt:

• Internet Explorer® 7.

• Anwendungen, die .msi-Dateien (Microsoft Windows Installer) nutzen.

Voraussetzungen

Die folgenden Anforderungen gelten für die Vorbereitung eines Windows PE-Kits:

• Windows Vista® oder Windows XP® mit Service Pack 2 (SP2).

• DVD-Brenner und Software, um auf eine CD-ROM zu schreiben.

• 992 MB freier Speicherplatz auf der Festplatte des Computers, um die .img-Datei von Windows PE herunterladen zu können.

  **  Hinweis:**

  Wenn Sie das Standardskript für das Kit nutzen, benötigen Sie für das Boot-Image auf Laufwerk C des Computers zusätzlich 800 MB.

• Microsoft .NET Framework Version 2.0 und MSXML zur Ausführung von Windows Installer.

Die Anforderungen können Sie mit den folgenden Ressourcen umsetzen:

• Microsoft .NET Framework Version 2.0 Redistributable Package (x86).

• Microsoft Core XML Services (MSXML) 6.0.

Weitere Informationen zu den Anforderungen bei 32- und 64-Bit-Sytemen finden Sie unter:

• Übersicht zu Windows Preinstallation Environment (engl.).

Aufgabenübersicht

Mit den folgenden Schritten bereiten Sie Ihr Malware Removal Starter Kit auf die Durchführung von Offline-Scans vor:

• Aufgabe 1: Installation des Windows Automated Installation Kit (AIK)

• Aufgabe 2: Download der Malware-Scanningtools und -utilities

• Aufgabe 3: Erstellen der CD für das Malware Removal Starter Kit

• Aufgabe 4: Scannen eines Computer mit dem Malware Removal Starter Kit

Aufgabe 1: Installation des Windows Automated Installation Kit (AIK)

Die erste Aufgabe ist das Herunterladen des Windows Automated Installation Kit (AIK). Dieses Kit umfasst Windows PE und andere Dateien zur Installation auf Ihrem Computer. Das Kit installiert sich standardmäßig als Imagedatei (*.img) auf einem von Ihnen ausgewählten Systemlaufwerk.

**  Hinweis:**

Das AIK unterstützt Windows Vista und Windows XP SP2.

Installation des AIK auf Ihrem Computer:

1. Laden Sie das AIK unter Windows Automated Installation Kit (AIK) herunter.

   **  Hinweis:**

   Die .img-Datei des AIK ist ca. 698 MB groß. Aus diesem Grund kann es eine Weile dauern, bis das AIK heruntergeladen ist.

2. Brennen Sie die .img-Datei auf eine DVD.

   **  Hinweis:**

   Wenn Ihre DVD-Brennsoftware keine .img-Dateien erkennt, ändern Sie die Dateierweiterung von .img auf .iso. Versuchen Sie dann noch einmal, die DVD zu brennen.

3. Klicken Sie auf der erstellten AIK-DVD doppelt auf StartCD.exe.

Aufgabe 2: Download der Malware-Scanningtools und -utilities

Sie müssen feststellen, welche Tools Sie für Malware-Scans benötigen. Windows PE unterstützt keine Tools, die .msi-Pakete nutzen. Auch das verfügbare RAM des Computers kann die Auswahl einschränken.

Es gibt einige kostenlose Anti-Malware-Tools, für die keine Installation erforderlich ist und die in einer Windows PE-Umgebung ausgeführt werden können. Sie können diese Tools außerdem auch von einem USB-Stick aus ausführen.

Laden Sie sich die erforderlichen Malware-Scanning-Tools auf Ihren Computer herunter.

**  Wichtig:**

Einige Anti-Malware-Tools benötigen zur Ausführung einen Netzwerkzugriff. Sie sollten nur die Tools nutzen, die offline verwendet werden können. Wir empfehlen Ihnen, die Installationsanweisungen der Tools zu lesen. Einige Tools sind möglicherweise nicht mit allen Windows-Betriebssystemen kompatibel.

Zum Zeitpunkt der Erstellung dieses Dokumentes waren die folgenden Tools für Windows PE auf einem Computer unter Windows XP SP2 oder Windows Vista mit mindestens 512 MB RAM verfügbar:

• avast! Virus Entferner von Alwil Software. Dieses Tool ist für einen Offline-Einsatz geeignet. Der Stand der Signaturdateien entspricht dem angezeigten Downloaddatum.

• McAfee AVERT Stinger (engl.) - ein eigenständiger Virenscanner von McAfee. Dieses Tool ist für einen Offline-Einsatz geeignet. Der Stand der Signaturdateien entspricht dem angezeigten Downloaddatum.

• Tool zum Entfernen schädlicher Software von Microsoft. Dieses Tool ist für einen Offline-Einsatz geeignet. Der Stand der Signaturdateien entspricht dem angezeigten Downloaddatum.

• Spybot - Search & Destroy von Spybot Search and Destroy.

  **  Hinweis:**

  Bevor Sie dieses Tool nutzen können, müssen Sie es auf dem zu scannenden Computer installieren und dann die aktuellsten Signaturdateien von Spybot herunterladen. Nach der Installation startet es über X:\Program Files\Spybot - Search & Destroy\spybotsd - es sei denn, Sie geben während der Installation einen anderen Pfad an. Der Stand der Signaturdateien entspricht dem angezeigten Downloaddatum. Weitere Informationen finden Sie im Tutorial auf der Spybot-Website.

Die folgenden Utilities unterstützen Sie bei der Verwaltung des Computers während der Malware-Entfernung:

• Drive Manager (engl.) von der Freeware Utilities by Alex Nolan-Website (engl.). Dieses Tool unterscheidet verschiedene Laufwerkstypen (Festplatten, CD-ROMS, USB-Sticks etc.) und zeigt deren Eigenschaften an. Es ist für einen Offline-Einsatz geeignet.

• System Spec (engl.) von der Freeware Utilities by Alex Nolan-Website (engl.) stellt Informationen zur Hardware des Computers bereit. Es ist für einen Offline-Einsatz geeignet.

Aufgabe 3: Erstellen der CD für das Malware Removal Starter Kit

Zur Erstellung der CD für das Malware Removal Starter Kit müssen Sie ein Windows PE-Image für das Kit erstellen, dieses um die Tools erweitern, die Größe des Festplattencache ändern, um Platz für RAM zu schaffen, und dann ein .iso-Image erstellen und es auf eine CD-ROM brennen. Sie müssen außerdem regelmäßig die neusten Signaturdateien auf die CD integrieren.

**  Wichtig:**

Nachdem Sie das Windows PE-Image erstellt haben, ist es wichtig, alle Schritte ohne Unterbrechung durchzuführen. Wenn Sie die geplanten Tools bereits heruntergeladen haben, sollte der ganze Vorgang nicht länger als 30 Minuten dauern (abhängig von Ihrem System). Sie benötigen mindestens 800 MB freien Speicherplatz auf Laufwerk C.

Erstellen der CD für das Malware Removal Starter Kit:

1. Melden Sie sich als Administrator an, klicken Sie auf Start, Alle Programme, Microsoft Windows AIK und auf Windows PE Tools Eingabeaufforderung.

   **  Hinweis:**

   Dieser Schritt bezieht sich auf Windows XP. Unter Windows Vista klicken Sie mit rechts auf Windows PE Tools Eingabeaufforderung, und dann klicken Sie auf Als Administrator ausführen und Weiter.

2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
   copype x86 c:\WinPE
   Sie erstellen so eine Kopie des x86-Image von Windows PE und richten ein Arbeitsverzeichnis auf Ihrem Computer ein.

3. Geben Sie im neuen Verzeichnis (c:\WinPE) den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
   imagex /mountrw winpe.wim 1 c:\WinPE\Mount
   So stellen Sie das WinPE.wim-Image bereit.

4. Mit dem folgenden Befehl greifen Sie dann auf einen Registrierungsschlüssel zu:
   reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

5. Mit dem folgenden Befehl erstellen Sie einen Festplattencache von 96 MB für das RAM:
   reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

6. Mit dem folgenden Befehl beenden Sie die Bearbeitung des Registrierungsschlüssels:
   reg unload HKLM\_WinPE_SYSTEM

7. Mit dem folgenden Befehl erstellen Sie im bereitgestellten Verzeichnis ein neues Verzeichnis für die Scanning-Tools:
   mkdir c:\WinPE\mount\Tools

8. Kopieren Sie die Tools in das neue Verzeichnis.

9. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETRASTE:
   peimg /prep c:\WinPE\Mount
   Geben Sie ja ein, und drücken Sie erneut die EINGABETASTE.

10. Speichern Sie Ihre Änderungen mit dem folgenden Befehl:
    imagex /unmount c:\WinPE\Mount /commit

11. Führen Sie den folgenden Befehl aus:
    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim
    Bestätigen Sie mit ja.

12. Mit dem folgenden Befehl erstellen Sie eine iso-Datei des Windows PE-Images:
    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

13. Brennen Sie die .iso-Datei, die sich unter c:\WinPE\WinPE_Tools.iso befindet, auf eine CD, und testen Sie das Image.

    **  Hinweis:**

    Sie können das Image auch mit Microsoft Virtual PC 2007 testen.

Die CD für Ihr Malware Removal Starter Kit ist nun fertig. Wenn Sie regelmäße Signaturupdates machen, empfehlen wir Ihnen, diese auf einem USB-Stick zu speichern.

Aufgabe 4: Scannen eines Computer mit dem Malware Removal Starter Kit

Sie sind jetzt bereit, das Windows PE-Image und die Tools zum Scannen eines Computers zu nutzen.

Scannen eines Computer mit der Windows PE-CD und den Tools:

1. Legen Sie die CD in das Laufwerk des Computers. Starten Sie den Computer über dieses Laufwerk (legen Sie gegebenenfalls die Startreihenfolge entsprechend fest).
   Option: Stecken Sie den USB-Stick in einen USB-Steckplatz des Computer, und stellen Sie so sicher, dass das Gerät beim Start des Betriebssystems geladen ist.

   **  Hinweis:**

   Weitere Informationen zum Starten eines Computer über eine Windows PE-CD finden Sie unter Übersicht zu Windows Preinstallation Environment (engl.).

2. Führen Sie die Malware-Scanning-Tools aus. Wenn Sie die Standardkonfiguration aus Aufgabe 3 genutzt haben, finden Sie diese unter X:\Tools.
   Option: Wenn Sie einen USB-Stick für aktuelle Signaturdateien nutzen und nicht sicher sind, welchen Laufwerksbuchstaben dieser hat, dann können Sie den Laufwerksbuchstaben mit Drive Manager herausfinden (zu finden unter X:\Tools).

   **  Hinweis:**

   Um Spybot auszuführen, lesen Sie die Spybot-Installationsanweisungen.

**  Vorsicht:**

Malware-Scanning-Tools auf infizierten Computern auszuführen kann dazu führen, dass der Computer nicht mehr korrekt gestartet werden kann (zum Beispiel, wenn wichtige Bootdateien durch Malware verändert wurden). Sie sollten daher regelmäßige Sicherungen durchführen.

In diesem Beitrag

• Übersicht
• Reaktionsplanung
• Ein Malware-Problem erkennen
• Umgang mit einem bestehenden Malware-Problem
• Zusammenfassung

Download

Laden Sie das Malware Removal Starter Kit herunter
(.doc, engl., 173 KB)

Benachrichtigungen

Abonnieren Sie die Solution Accelerator Notifications (engl.)

2 von 5