Virensuche mit dem Process Explorer

Das Tool Process Explorer ist ein sehr nützlicher wie auch informativer Taskmanager. Mit dem Tool lässt sich sogar Schadcode im System aufspüren.

Der Process Explorer stammt aus der Sysinternals-Programmsammlung, die mittlerweile Microsoft gehört. Neben dem Process Explorer bieten die Sysinternals-Tools viele weitere, meistens systemnahe Tools, zum Beispiel den Process Monitor. Die meisten der Tools wurden von Mark Russinovich entwickelt. In einigen Blog-Einträgen und Videos gibt Russinovich auch Anleitungen sowie Tipps zu seinen Tools. Dazu zählen ebenfalls Hinweise, wie sich Schadcode im System mit den Sysinternals-Tools aufspüren lässt.

Speziell für den Taskmanager Process Explorer liefert Russinovich neun Punkte, auf die man bei der Suche nach verdächtigem Code achten soll. So gehen Sie vor:

Starten Sie den Process Explorer. Er läuft ohne Installation. Sie müssen beim ersten Start nur einmalig die Lizenzbestimmung abnicken. Verdächtig sind jene Prozesse, auf die mehrere der folgenden neun Punkte zutreffen. Verdächtig heißt allerdings nicht zwingend, dass es sich um Schadcode handelt.

1. Der Prozess hat weder ein Icon noch eine Beschreibung („Description“) oder einen Firmennamen („Company Name“). Das Icon wird, so vorhanden, vor dem Prozessnamen („Process“) angezeigt. Die zwei anderen Infos finden Sie in den Spalten rechts im Process Explorer. Wichtig: Es gibt viele harmlose Prozesse, zu denen der Process Explorer weder Icon noch Beschreibung oder Firmenname anzeigt. Diese Kriterien allein machen einen Prozess noch nicht bösartig. Es müssen weitere Punkte hinzukommen.

2. Der Prozess startet aus dem Windows- oder aus einem Benutzerverzeichnis: Schadcode versucht sich typischerweise in einem dieser Ordner zu platzieren. Zeigen Sie mit der Maus auf einen Prozess, wird sein Startordner per Pop-up angezeigt.

3. Der Prozess wird von einem untypischen Prozess gestartet („parent process“): Wenn bei Ihnen etwa Word, also der Prozess Winword.exe, eine Eingabeaufforderung, also den Prozess Cmd.exe, gestartet hat, dann ist das ungewöhnlich und damit verdächtig. Um die Abhängigkeit eines Prozesses zu erkennen, doppelklicken Sie auf ihn. Jetzt öffnen sich die Eigenschaften, wo auf der Registerkarte „Image“ hinter „Parent“ der „parent process“ steht.

4. Prozess mit falscher Schreibweise: Der Systemdienst Svch ost.exe läuft auf jedem Windows meistens mehrmalig. Er startet Dienste sowie andere Programme. Bereits vor rund 20 Jahren haben Virenprogrammierer ihre Schädlinge ähnlich wie das Programm Svchost.exe genannt, um sie so zu tarnen. Die Schädlinge heißen beispielsweise „svchosl.exe“ oder „svhost.exe“.

5. Der Prozess ist nicht signiert: Um zu überprüfen, ob die laufenden Prozesse signiert sind, wählen Sie im Process Explorer „Options –› Verify Image Signatures“. Die Angabe erscheint als neue Spalte im Fenster des Process Explorers.

6. Ein Prozess ist gepackt: Wenn der Process Explorer einen gepackten Prozess entdeckt oder vermutet, dann wird dieser Prozess lila eingefärbt. Der Farbcode des Process Explorers sieht ansonsten so aus: Grün steht für einen neuen Prozess. Rot zeigt einen Prozess, der gerade beendet wird. Hellblau bedeutet, dass der Prozess mit denselben Benutzerrechten läuft wie der Process Explorer. Pink steht für Windows-Dienste. Grau steht für Prozesse im Ruhezustand.

7. Unterhalb des Prozesses laufen verdächtige Dienste (DLL-Dateien): Was für Mark Russinovich in diesem Fall verdächtig ist, gibt er nicht an. Aber vermutlich sind die Dienste dann verdächtig, wenn einige der hier genannten Punkte zutreffen.

8. Der Prozess hat TCP-IP-Verbindungen geöffnet: Ob das der Fall ist, sehen Sie nach einem Doppelklick auf den Prozess auf der Registerkarte „TCP/IP“.

9. Der Dateiname des Prozesses enthält merkwürdige URLs oder andere merkwürdige Zeichen. Denn Schadcode speichert sich zur Tarnung oft mit einem zufälligen Dateinamen.