Ist Malware erst einmal auf dem System am herum spuken, ist dies ein Problem. Nicht nur, weil es dann passiert ist und der Computer im Brunnen gefallen ist, sondern weil der Benutzer unter Umständen auch nicht mehr alleine ist. Kennwörter, ebay-Accounts, Windows-Seriennummern und alles, was irgendwie zu finden ist, wird schon kurz nach der Infektion in den nachfolgenden Sekunden übertragen und sind dann erst mal weg. Und werden natürlich weiter verwendet, bzw. verkauft.
Passwörter können geändert werden, dies sollte dann im Falle des Falls umgehend auch schnell mit einem sauberen System geschehen. Falls nach einer Neuinstallation die Seriennummer von Windows nicht mehr akzeptiert wird, gibt es vermutlich schon zu viele Installationen. Da hilft maximal nur noch der Support von Microsoft.
Gut, was tun, wenn es soweit ist und der Benutzer es überhaupt gemerkt, dass etwas nicht stimmt? Gute Drive-By-Exploits verlaufen unbemerkt. Also merkt der Benutzer nichts. Neue Malware wird unter Umständen von selbst aktuellen Anti-Virus Programmen nicht erkannt. Erst nach einigen Tagen kann ein Update dazu führen, dass plötzlich Alarm ausgelöst wird, falls das AV-Programm dann nicht von der Malware lahmgelegt worden ist. Natürlich wirft die automatische Verhaltensanalyse von wenigen AV-Programmen auch bei unbekannter Malware manchmal einen Alarm. Allerdings gibt es auch eine gewisse Wahrscheinlichkeit eines Fehlalarms. Keine Panik, diese Tools müssen paranoid wirken. In der Regel haben die Benutzer diese meist aus. Wer will ständig mit Meldungen belästigt werden?
Sinnvoll, sind Script- und Ad-Blocker. Diese verhindern gute und gleichzeitig böse Skripte. Vertrauenswürdige Seiten werden nach und nach erlaubt und andere blockiert. Das reduziert die Wahrscheinlichkeit infiziert zu werden erheblich. Es macht etwas mehr Arbeit, wirkt aber recht gut. Selbstredend sollte OS und alle Programme auch aktuell gehalten werden. Ein besonderes Augenmerk sollte der Benutzer auf Dinge legen, die im Browser laufen, wie PDF, Flash und die ganzen Dinge, worüber schnell ein Einfallstor geschaffen werden kann. Je aktueller die Software, je besser.
Sitzt die Malware auf dem System und wurde bemerkt, bzw. der Benutzer hat den Verdacht, dass etwas komisch läuft, so sollte Ruhe bewahrt werden. Die Daten, die weg sind, sind eh weg. Jetzt geht es darum, zukünftigen Schaden zu minimieren. Also speichere man das ab, was man gerade tut und fährt das System normal herunter. Ein kleines Goldstück sind die AV Live CDs. Kaspersky und AVIRA und andere bauen solche bootfähigen Medien, die das System nach Malware untersuchen. Da die Malware im größtmöglichen Fall mit der Live CD nicht mehr aktiv ist, kann sie auch wenig unternehmen, um sich zu verstecken oder zu wehren. Ist alles soweit bereinigt, neu booten und alle Security und AV-Programme deinstallieren und sauber neu installieren. Malware deaktiviert diese teilweise oder beschädigt sie so, dass sie nicht einwandfrei mehr arbeiten. Eine Neuinstallation dieser wenigen Tools minimiert auch das Risiko.
Möglicherwiese ist bekannt, womit das System infiziert worden ist. Vielleicht liefern die Suchmaschinen Ergebnisse zu diesem Tu-Nicht-Gut.
Verwendet man auf dem System besonders sensible und kritische Daten mit brisanten Inhalten, sollte der Mitarbeiter gar nichts tun, seine Arbeit speichern, den Netzwerkstecker ziehen und seine IT-Security Abteilung informieren, die mit einer forensischen Analyse Details zur Infektion und dem entstandenen Schaden herausfinden kann.
Empfohlene AV Live CDs:
Avira AntiVir Rescue System Homepage Download
AVG Rescue CD Homepage Download
Kaspersky Rescue Disk Homepage Download