Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Run PE Detector

So entdecken Sie RAT-Hackerangriffe

01.09.2017
Von Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Mit der Freeware Run PE Detector entdecken Sie feindliche Überwachungssoftware, sogenannten Remote Administration Tools (RATs).
Die Freeware Run PE Detector spürt feindlichen Code auf, der sich in legitime Windows-Prozesse injiziert hat. Das ist typisch für Remote Administration Tools (RATs).
Die Freeware Run PE Detector spürt feindlichen Code auf, der sich in legitime Windows-Prozesse injiziert hat. Das ist typisch für Remote Administration Tools (RATs).

Das Programm Run PE Detector von den Sicherheitsspezialisten Phrozen aus Frankreich sucht nach feindlicher Überwachungssoftware. Es hält ausschau nach sogenannten Remote Administration Tools (RATs). Diese Art von Programmen gibt es zwar auch in legalen Varianten, doch mit der Abkürzung RATs werden fast immer nur Schadprogramme bezeichnet. Zu den bekanntesten RATs zählen etwa Back Orifice, Sub Seven, Black Shades und Dark Comet. Hat ein RAT einen PC befallen, kann der Angreifer diesen komplett über das Netzwerk oder Internet fernsteuern. Der Hacker hat also Zugriff auf die Daten des PCs und kann diesen kontrolliern.

Modernen RATs ist fast immer eines gemeinsam: Sie injizieren ihren Code in einen legetimen Prozess von Windows. Diese Technik wird als Run PE bezeichnet. Oft sucht sich das RATs eine Datei des Internet Explorer aus. Denn dieser hat fast immer das Recht, durch die Firewall hindurch Daten zu schicken. Auf diese Weise kapert das RAT nicht nur den Internet Explorer, sondern kann gleichzeitig auch seine Firewall-Berechtigung nutzen.

Die RATs injizieren ihren Code oft erst dann in den Prozess, wenn sich dieser im Arbeitsspeicher befindet. Die Datei auf der Festplatte lassen sie unberührt. So ist es für ein Antivirenprogramm deutlich schwerer, das RAT zu erkennen.

RATs suchen und beseitigen: Entpacken Sie das Tool Run PE Detector und starten es. Eine Installation ist nicht nötig. In der Registerkarte „Running Process“ listet es alle aktiven Programme auf. Klicken Sie rechts oben auf „Run Scan“, um diese Prozesse untersuchen zu lassen. Ist alles in Ordnung meldet Run PE Detector „Your System looks clean“.

Falls Sie aber eine Infektionswarnung erhalten, wechseln Sie auf die Registerkarte „Malicious Applications Location“. Dort sehen Sie, welcher Prozess gekapert wurde und meist auch, wo die feindliche Datei dazu gespeichert ist. Die Macher von Run PE Detector sagen, dass die Erkennungsleistung ihres Tools sehr gut ist. Es kann also recht zuverlässig feststellen, ob ein Prozess verseucht ist. Das Tool ist aber nicht so gut darin, das zugehörige RAT komplett zu entdecken und zu entfernen. Die Macher empfehlen bei einer Infektion deshalb, den PC gründlich von einem Antivirenprogramm scannen zu lassen. Betroffene sollten dafür ein anderes Antivirenprogramm verwenden, als das bereits installierte. Denn dieses hat ja bereits schon versagt. (PC-Welt)