Schadsoftware eliminieren: Mit freien Werkzeugen auf Malwarepirsch

Wer bei einem Verdacht auf einem einzelnen Rechner schnell prüfen will, ob sich dort Schadsoftware eingenistet hat, kann dafür verschiedene kostenlose und Open-Source-Tools nutzen. Werkzeuge wie THOR Lite, YARA und ClamAV spüren verdächtige Dateien auf und PersistenceSniper und trawler decken Persistenzmechanismen auf. Ergänzt durch bewährte Tools wie Autoruns, Sigcheck und DensityScout entsteht eine schlagkräftige Sammlung für den Incident-Check. Der Artikel stellt die Werkzeuge im Detail vor, erklärt ihre Ausgaben und zeigt, wie man Malwarefunde bewertet. Um die Werkzeuge greifbar zu machen, greift er auf Beispiele mit der Schadsoftware brbbot.exe zurück, die der zweite Teil der iX-Reihe zum Reverse Engineering analysiert hat.

Mit THOR Lite verdächtige Dateien und Prozesse erkennen

Der Scanner THOR Lite eignet sich für einen schnellen Rundumcheck verdächtiger Dateien und Spuren. Es handelt sich um einen Indicators-of-Compromise-Scanner (IOC), der Schadsoftware, Angreifertools und auffällige Aktivitäten auf kompromittierten Systemen erkennt. THOR Lite ist die kostenlose Variante des kommerziellen Produkts von Nextron Systems und erfordert lediglich eine kostenfreie Lizenz, die nach der Eingabe von Kontaktdaten über die Webseite erhältlich ist. Das Tool läuft auf Windows, Linux und macOS, benötigt keine Installation und bringt ein Open-Source-Datenset von rund 4.000 YARA-Regeln mit, darunter solche, die Webshells, Hacktools, bösartige Skripte und Dateien erkennen. Zusätzlich analysiert THOR Lite laufende Prozesse und Netzwerkverbindungen.

Scans lassen sich in unterschiedlichen Modi starten: default, quick, soft oder intense. Für einen besonders gründlichen Scan auf einem Windows-System nutzt man den folgenden Befehl:

Das war die Leseprobe unseres heise-Plus-Artikels „Schadsoftware eliminieren: Mit freien Werkzeugen auf Malwarepirsch“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.