Seit Jahren nutze ich auf meinen PCs nur noch OpenSource, trotzdem haben hier in der Familie ein paar PCs noch Windows, mittlerweile Windows 7. Und manchmal darf ich dann da den Hausmeister spielen und aufräumen. So auch dieser Tage als sich ein PC wohl eine Malware eingefangen hat. Also habe ich mal wieder einen Blick auf den Stand in Sachen Sicherheit bei Windows werfen müssen.

Wenn es um das Thema Anti-Virus-Programme geht, dann ist meine Standardantwort ein Verweis auf den Artikel „The six dumbest ideas in computer security“ und da insbesondere der Punkt 2 „Enumerating badness“. Die Kernaussage ist, dass man beim Rennen um Computersicherheit auf ein totes Pferd setzt wenn man sich auf Virenscanner verlässt, denn die Anzahl der Viren wächst deutlich schneller als die Anti-Viren-Programm-Hersteller darauf reagieren können. Und selbst wenn man täglich seine Virensignaturen aktualisiert, so kann man damit bestenfalls eben trotzdem nur die bekannten Viren erkenen und neue Schädlinge eben nicht.

Trotzdem klammert man sich als Ertrinkender an jeden Strohhalm und darum habe ich für das Entwanzen des betroffenen PCs mal auf die „Desinfect 2014“ DVD zurückgegriffen die es im Mai als Heftbeilage der Computerzeitschrift c’t gab.

Diese DVD basiert auf Ubuntu 12.04 LTS und bringt 4 unterschiedliche Virenscanner mit. Also erst mal von der DVD booten. Nach einiger Zeit kommt die graphische Oberfläche mit übersichtlich angeordneten Icons. Da die Virensignaturen schon ein paar Tage alt sind starte ich erst mal ein Update derselben. Da kommt dann auch gleich der erste Wermutstropfen, der Scanner Bitdefender scheitert hier mit Fehlermeldungen.

Egal, also mal ein Scan mit allen 4 Scannern angestartet und gewartet. Avira und Bitdefender laufen in den Terminal-Fenstern relativ flott und schütten mich mit jeder Menge Meldungen zu. Der Kaspersky-Scanner hingegen faselt was von 1% und bleibt da eine sehr lange Weile stehen.

Zeit sich ein wenig im Dateisystem umzusehen und in /tmp werde ich fündig und finde die Logfiles der Virenscanner. Avira beglückt mich mit 16 MB, bitdefender mit 13 MB und im Logfile von Avira finde ich am Ende den Hinweis, dass ein Schädling entdeckt wurde. Doch welcher, das erschließt sich aus dieser Zusammenfassung nicht.

Da ich vermute, dass Kaspersky sich in einer Endlosschleife verfangen hat (dessen Logfile zeigt die gleiche Datei mehrfach an) breche ich hier ab. Es folgt einee Menge Text im Terminalfenster unter der Kategorie „Analyzing Logs“ und danach öffnet sich der Browser und ich erhalte eine Übersicht über die gefundenen Viren.

Da es schon spät am morgen ist und ich in die Arbeit muss sichere ich diese Ergebnisse auf den Stick und gehe erst mal arbeiten.

Am Nachmittag werfe ich dann mal einen genaueren Blick auf diese Liste. Es werden drei Viren ausgewiesen, TR/Rogue.1333527 , Trojan.Win32.Delf.dnmb und not-a-virus:AdWare.Win32.Agent.ahbx. Alle diese Ergebnisse sind mit Links zu den Seiten von Avira oder Kaspersky unterlegt, doch folgt man diesen Links, dann landet man immer nur bei „not found“. Ich kann also nicht so einfach rausfinden was denn genau die Schadfunktionen der Trojaner sind.

Am Abend kommt dann der zweite Anlauf. Ich nutze nun einen USB-Stick um mit Hilfe der CD einen bootfähigen Stick zu erstellen. Das hat den Vorteil, dass die aktualisierten Virensignaturen dort gespeichert werden und man nicht bei jedem Einsatz die Update-Orgie in voller Länge durchziehen muss. Das Booten via USB geht auch flotter als über die Scheibe und so boote ich nochmal und lasse alle 4 Scanner über nacht werklen. Heute morgen dann das Ergebnis, die drei oben genannten Schädlinge sind wieder ausgewiesen, zusätzlich hat ClamAV noch eine Menge anderer Viren gefunden, aber da die Benutzeroberfläche darauf hinweist, dass ClamAV auch false Positives anzeigt und keiner der drei anderen Scanner hier anschlägt gehe ich mal von false Positives aus. Die drei betroffenen Dateien werden dann im Dateimanager von Ubuntu gelöscht und ich hoffe damit ist der PC nun bereinigt.

Wohl ist mir bei der Geschichte natürlich nicht und ich komme mir so vor, wie wenn ich gerade einem Hexenzauber beigewohnt hätte. Das fängt schon mit den zugemüllten Logfiles an, da ist mir die Unix-Philosophie „If a program has nothing important to say it should shut up“ viel lieber. Diese Flut an Meldungen erinnert an die Science-Fiction-Filme aus den 60er Jahren wo Computer noch jede Menge blinkende Lichter haben mussten und Geräusche produzierten, damit man eben sieht, dass da wirklich gearbeitet wird.

Doch ein doofes Bauchgefühl bleibt. Zum einen weil der Virenscanner eine Menge Dateien nicht gescannt hat weil diese „password protected“ waren, aber vom Dateinamen wohl teile eines angeblichen Flash-Player-Updates sind das einen der Schädlinge transportierte. Wir können also nur die Situation beobachten uns sehen, ob sich der betroffene Rechner weiterhin seltsam verhält.

Die konsequente Gegenmaßnahme wäre eine vollständige Neuinstallation des Rechners, doch auch hier stellt sich die Frage, ob das tatsächlich was hilft. Ein Schädling wurde eingefangen weil ein Flash-Player-Update diesen mitbrachte, wobei noch nicht klar ist, ob das Update tatsächlich von einer vertrauenswürdigen Seite kam oder nicht.

Überhaupt, was ist im Kontext von Windows schon „vertrauenswürdig“. Wenn ich hier unter Linux Software installiere, dann habe ich zwei Möglichkeiten. Zum einen nutze ich das was die Distribution mitbringt indem ich über den Paketmanager die entsprechenden Pakete installiere. Pakete die letzlich aus einer Quelle stammen der ich vertraue und deren Inhalt kryptographisch signiert ist, so dass es sehr schwierig ist mir hier Malware unterzujubeln. Zum anderen hole ich mir von manchen Dingen die Sourcen und übersetze selbst, man könnte sich hier zwar theoretisch auch was einfachen, aber bislang ist das nicht passiert.

Und der Windows-User? Der hat Windows-Update für die Grundfunktionen seines Betriebssystems und alles andere kommt von irgendwoher im Internet. Und viele dieser Download-Seiten für Software wie Firefox oder Gimp bringen dann noch zusätzliche Bloatware mit die nervige Browser-Erweiterungen oder Toolbars oder sonstigen Müll auf dem Rechner installiert der nur sehr schwer wieder zu entfernen ist und den man eigenltich gar nicht will. Doch woher soll der User das vorher wissen. Oder man wird angehalten für das Downloaden einen Downloader zu installieren, wie bescheuert ist das denn? Warum sollte ich einen Downloader benötigen, runterladen kann jeder Browser und ein extra Programm dafür braucht man nicht. Trotzdem fallen immer wieder Leute darauf rein und fangen sich so diverse Malware ein.

Malware wieder loswerden ist dann das nächste Problem. Ok, ich hoffe dass ich durch das löschen der von den Virenscannern ausgewiesenen Dateien nun die Schädlinge los bin, aber bin ich das wirklich? Zumal ich ja keine detaillierte Info dazu bekomme die mir helfen würde, nachzusehen ob vielleicht noch Reste des Schädlings aktiv sind oder nicht. Und wenn ich nach dem Schädling im Internet suche, dann bekomme ich so tolle Ergebnisse wie „Download FREE Trojan-Downloader.Win32.Delf Removal Tool“. Warum bitteschön sollte ich ein solches Tool runterladen und diesem vertrauen dass es mich von dem Schädling befreit statt selbst drei andere Schädlinge zu installieren? Hier beißt sich die Katze in den Schwanz, und letztlich ist der Kampf gegen Schädlinge auf Windows nur mit Voodoo-Zauber zu vergleichen.

Das ganze ist meiner Meinung nach leider „broken by design“. Es geht mit unsicheren Standardeinstellungen bei Windows los und endet eben darin, dass es kein zentrales Paketmanagement gibt welches die Integrität der zu installierenden Pakete sicherstellt. Und solange man sich jede Drittsoftware von „irgendwo“ runterladen muss und Bloatware-Schleudern in der Suchmaschine Top-Rankings haben wird das auch nicht besser werden. Der Windows-Nutzer bekommt im Kampf um die Computersicherheit die Rolle des Don Quichotte der ja auch gegen Windmühlenflügel kämpfen musste.

Tja, ich weiß schon warum ich von Windows Abstand nehme und lieber auf ein System setze dem ich vertrauen kann.

[ratings]