Unter Spyware versteht man Programme, Dateien und Funktionen, die Daten über das Surfverhalten an den Hersteller der Spyware verschicken. Meistens kommen diese Anhängsel unbemerkt mit Freeware oder Shareware auf den PC oder werden über Sicherheitslücken verbreitet.
Eine weitere häufig benutze Form sind Hijacker, die sich beim Surfen im Netz über verschiedene Methoden in Webseiten, im System festsetzen.
Internetexplorer:
Eingeschränkten Schutz erziehlt man mit ein paar kleinen Änderungen in der Browserkonfiguration.
Dazu wählt man “Internet-Optionen” aus dem Menü “Extras” im Internet Explorer.
Dort wechselt man in den Reiter “Sicherheit” und ändert die Sicherheitsstufe der Zone “Internet” mit dem Button “Stufe anpassen” wie folgt:
“Activex-Steuerelemente initialisieren und ausführen, die nicht sicher sind”: -> deaktivieren
“Activex-Steuerelemente und Plugins ausführen”: -> Auf Eingabeaufforderung setzen oder deaktivieren
“Download von unsignierten ActiveX-Steuerelementen”: -> Deaktivieren
“Java-Einstellungen”: -> Hohe Sicherheit
Mit “OK” bestätigt man die Änderungen.
Ein weiterer Vorteil der Einstellungen ist, dass sich Dialer nicht mehr so leicht einschleichen können.
Ein kleiner Nachteil könnte sein, dass manche Webseiten nicht mehr korrekt dargestellt werden.
Alternativ kann man auch darüber nachdenken einen anderen Browser einzusetzen, der weniger
Sicherheitslücken vorweist.
Diese verändern dann die Start-/Suchseiten des Browsers und die hosts-Datei auf dem System.
Das äussert sich in Werbefenstern, Popups oder beim Surfen landet man immer wieder auf bestimmten Seiten, auf die man eigentlich garnicht wollte.
JAVA Virtual Machine ersetzen/entfernen
Ein weiteres Risiko verursacht die fehlerbehaftete Java-Virual-Machine von Microsoft, die man besser durch die weiterentwickelte Sun-Java VM ersetzen sollte.
Wer die JavaVM von Microsoft komplett entfernen möchte, kann das folgendermaßen tun:
Start->ausführen->Eingabe:
RunDll32 advpack.dll,LaunchINFSection java.inf,UnInstall
Startet die Deinstallation-> mit Ja/Yes bestätigen, danach den Rechner neustarten und in die
Registrierung gehen(start->ausführen->regedit) zu:
HkeyLocalMachine\Software\Microsoft\Java VM
und
HkeyLocalMachine\Software\Microsoft\Internet Explorer\AdvancedOptions\JAVA_VM
Beide Ordner Java VM und JAVA_VM löschen
Dann müssen noch folgende Ordner/Dateien gelöscht werden:
1.%systemroot%\java Ordner
2.java.pnf im Ordner %systemroot%\inf
3.jview.exe and wjview.exe in %systemroot%\system32
(%systemroot% =Installationsordner von Windows zb c:\windows\ )
Danach neustarten und die Sun-Java installieren.
Sun-JavaVM Applet-Cache (Alle Browser)
In der Konfiguration der Sun-Java VM sollte man den Applet-Cache komplett deaktivieren, damit schädliche Applets beim Schließen der Seiten auch gelöscht werden (gilt für alle Browser).
Dazu geht man zu
Start -> Einstellungen -> Systemsteuerung -> Java-Plugin ->Cache
und nimmt dort das Häkchen bei:
Cache aktivieren heraus.
Übernehmen und schließen und der Applet-Cache ist deaktiviert.
Spybot-Search & Destroy (Download)
Mit diesem Tool kann ein Großteil der Spyware, Adware, Hijacker, Dialer etc. (eingeschränkt auch Trojaner/Würmer) gefunden und entfernt werden.
Nach dem Installieren sollte man zuerst über die integrierte Update-Funktion das Programm auf den neuesten Stand bringen.
Will man alle Funktionen des Programms nutzen, kann man über Start->Programme->Spybot-Ordner das Tool im Advanced-Modus starten.
Die wichtigsten Funktionen sind aber auch über den Easy-Mode verfügbar.
Klickt man nun Links im Menü auf Search & Destroy kommt man zur Überprüfen-Funktion.
Unten am Bildschirm kann man über ‘Datensätze’ einstellen, nach was alles gesucht werden soll
(Spyware, Gebrauchsspuren, Systeminnereien etc. – Erklärung dazu gibt’s über den Hilfe-Button)
Mit Klick auf “Überprüfen” wird die Suche gestartet.
1.”Rote Einträge” bedeuten Spyware-Probleme, die aus Sicherheitsgründen behoben werden sollten. Diese Art von Problemen ist von vorneherein schon gewählt.
2.”Schwarze Einträge” sind Systeminnereien. Wenn man nicht genau weisst, worum es dabei geht, klickt man auf den Eintrag und list dazu die Beschreibung falls vorhanden, ansonsten entweder nicht entfernen oder nachfragen.
3.”Grüne Einträge” bedeuten Gebrauchsspuren. Diese zu entfernen bedeutet in aller Regel keinerlei Probleme. Log-Einträge bei NT/Win2000/XP, sollten niemals entfernt/verschoben werden, da dies zu Problemen führen kann.
Hat man nun alles markiert, was entfernt/behoben werden soll, klickt man auf ‘ Markierte Probleme beheben’.
Eine weitere nützliche Funktion zur Vorbeugung ist ‘Immunisieren’.
Beim Immunsieren wird eine Vielzahl der Spyware daran gehindert sich im System festzusetzen.
Dies erreicht man wenn man Links auf ‘Immunsieren’ klickt, dann wird überprüft welche Spyware geblockt werden kann und welche schon geblockt ist.
Mit klick auf den Button Immuniseren nach der Suche wird die Funktion abgeschlossen, und man ist somit gegen diese geblockte Spyware nicht mehr anfällig.
Diese Funktion sollte man nach jedem Update ausführen.
Weitere Funktionen:
Entfernt Tracking-Cookies
Suche nach Spyware/Adware – Programmen in Ordnern
Hosts-Datei schützen / erweitern (Werbe-Blockierung)
Startupliste (Ändern, hinzufügen, löschen, deaktivieren)
Nützliche Infos zur weiteren Suche nach Schädlingen etc
Eine Alternative zu Spybot mit kleinerem Funktionsumfang und ohne Immunisierung ist Adaware.
SpywareBlaster (Download/Alternative)
Bedienung:
1. Als erstes führt man ein Programmupdate durch, damit die Signaturen auf dem neusten Stand sind.
2. Nach dem Herunterladen werden alle neuen Signaturen im Anzeigefenster Rot angezeigt. Mit Klick auf “Select All” werden alle neuen Signaturen markiert.
3. Mit Klick auf “Protect Against Checked Items” wird der Rechner gegen die markierte Spyware imunisiert.
Erklärung:
Ein weiteres nützliches Tool zur Ergänzung der Immunisieren-Funktion von Spybot oder in Verbindung mit Adaware ist Spyware-Blaster.
Es führt auch eine Blockierung von Spyware durch, aber in einem sehr viel größerem Umfang als Spybot.
Durch die integrierte Update-Funktion ist man immer auf dem neusten Stand.
Spywareblaster gibt es leider nur auf English, die Bedienung ist aber recht simpel.
CWS-Shredder
Bedienung:
1. Zuerst führt man ein Programmupdate durch, damit die Signaturen auf dem neusten Stand sind.
2. Mit Klick auf ‘FIX->’ wird der Rechner auf schadhafte Einträge gescannt und diese bei Auffinden entfernt.
Erklärung:
Durch Sicherheitslücken in der Microsoft Java-Virtual-Machine kommt es in letzter Zeit gehäuft vor das sich über diese Sicherheitslücken beim Surfen Trojaner einschleichen, die alle unter dem Namen CoolWebSearch zusammengefasst sind z.B Java.Shinwow
Microsoft hat dazu auch 2 Patches bereit gestellt die man installieren sollte:
Security-Bulletin MS03-011
Security-Bulletin MS00-075
Alternativ kann man auch, wie oben schon beschrieben, die MS JavaVM gegen die weiterentwickelte SUN JavaVM austauschen.
Ist man schon infiziert, hilft das Tool CWS-Shredder den Schädling zu eliminieren
HiJackThis (Download)
Bedienung:
1. Mit klick auf ‘Scan’ werden alle relevanten Daten im Anzeigefenster aufgelistet. Danach wechselt die Beschriftung des Buttons von ‘Scan’ auf ‘Save-Log’
2. Mit klick auf ‘Save-Log’ kann das Ergebnis in einer Log-Datei gespeichert werden. Der Inhalt dieses Logs (Hijackthis.log) kann im Forum gepostet werden um schädliche Einträge zu identifizieren.
3. Nachdem festgestellt wurde was schadhafte Einträge sind, können diese im Anzeigefenster markiert, und mit klick auf ‘Fix checked’ bereinigt werden.
Erklärung:
Wenn die vorherigen Maßnahmen und Tools nicht weiterhelfen das Problem zu lösen, kann mit HiJackThis die Entfernung manuell erfolgen.
Das Tool fasst folgende Dinge in einem Report zusammen:
Internet Explorer Start-/Suchseiten URLs
Programme im Autostart
Netscape/Mozilla Start-/Suchseiten URLs
Hosts-Datei Umleitungen
Browser Helper Objects (BHO’s)
Internet Explorer toolbars
Aufgerufene/selbststartende Programme in der Registry
Versteckte Internetoptionen in der Systemsteuerung
Internetoptionen nur für Administrator
Regedit beschränkt auf Administrator
Zusätzliche Optionen im Kontextmenü des IE’s
Zusätzliche Button’s auf der IE-Standarschaltflächenleiste und im Extras-Menü
Winsock hijacker
Zusätzliche Gruppen in den Erweiterten Optionen
IE-Plugins
IE-StandardPrefix hijack
‘Webeinstellungen zurücksetzen’ hijack
Nicht gewollte Urls in Vertrauenswürdige Sites
ActiveX Objecte (z.B Downloader)
Lop.com domain hijackers
Zusätzliche Protokolle und Protokoll hijackers
Benutzer Stylesheet hijack
Spoonweg
Bedienung:
Mit Klick auf ‘Trojaner Suchen’ wird der Prozess des Trojaners (SP.exe) beendet und die vorhandenen Aufrufe in der Registry die den Trojaner starten gelöscht. Zu guter letzt wird auch die Trojaner-Datei SP.exe vom Rechner gelöscht.
Erklärung:
Der Spooner Trojaner vertauscht im Browser vorhandene Links mit einem Link zu www.ntsearch.com und zeigt einige Webseiten nur leer im Browserfenster an. Spoonweg entfernt diesen Trojaner komplett von seinem Rechner.