In Teil 1 des Workshops “HitmanPro.Kickstart” haben wir einen bootfähigen USB-Stick erstellt, mit welchem wir in diesem Teil einen Rechner untersuchen.
Der neuralgische Punkt beim Booten von USB-Medien ist das BIOS des Rechners, da es das Booten von USB-Medien explizit unterstützen muss. Dazu müssen Sie die Boot-Reihenfolge im BIOS so festlegen, dass die USB-Schnittstellen vor den internen Festplatten und CD-/DVD-Laufwerken abgefragt werden, da der PC ansonsten von Festplatte starten wird.
Festlegen der Bootreihenfolge im Phoenix BIOS
Je nach BIOS Hersteller bzw. Computermodell sind die Einstellungen unterschiedlich benannt und sind über unterschiedliche Tastenkombinationen beim Rechnerstart erreichbar. Achten Sie dazu bitte auf die Anzeige auf dem Bildschirm, die beim Starten des Rechners
kurz eingeblendet wird. Einer unserer Artikel geht auf die verschiedenen Möglichkeiten ein, von USB zu booten. Eventuell müssen Sie beim Starten Ihres Rechners einen Bootmanager aufrufen und dort jeweils den USB Stick als Startmedium auswählen (z.B. bei einigen Modellen von DELL).
Verschiedene Möglichkeiten, das BIOS des Rechners aufzurufen
Bei einem unserer Testrechner war es nötig, die BIOS Einstellung unverändert zu lassen, so dass die Festplatte in der Bootreihenfolge vor USB-Sticks steht und beim Start des Rechners über die Taste F12 ein Bootmenü aufzurufen, in welchem man für diesen einen Start wählen kann, von welchem Gerät gebootet werden soll. Ein Umstellen der Bootreihenfolge im BIOS hatte hier zur Folge, dass der Rechner beim Windows Start nur einen schwarzen Bildschirm zeigt. Experimentieren Sie mit den Einstellungen – achten Sie auch auf kurze Einblendungen des BIOS beim Anschalten des Rechners.
Boot von USB Stick – dazu sollte im BIOS das starten von USB Medien erlaubt sein
Startet der PC nun vom USB-Stick, so zeigt einem HitmanPro.Kickstart die Boot-Optionen. Hier kann man wählen, ob HitmanPro.Kickstart den MBR übergehen, oder der originale MBR verarbeitet werden soll (wichtig wenn man z.B.
alternative Bootloader wie GRUB installiert hat).
Danach bootet Windows wie gewohnt, man hat die Möglichkeit, das Windows Startmenü aufzurufen und z.B. anstelle des normalen Windows Startes den abgesicherten Modus (mit Netzwerkunterstützung, da HitmanPro Zugriff auf seine Cloud basierte Datenbank benötigt) auszuwählen.
Der Rechner bootet nun bis zur Windows Benutzeranmeldung, nach kurzer Wartezeit
startet HitmanPro automatisch. Sollte hier bereits Malware gestartet sein, welche den Start von HitmanPro verhindern will, so kann HitmanPro diese aktiv beenden, im äussersten Fall wird HitmanPro alle laufenden Windows Prozesse bis auf die unbedingt notwendigen abschalten, um die Herrschaft über den Desktop zurückzugewinnen. Dies kann ich in einem kurzen Flackern des Bildschirms äussern. Lassen Sie HitmanPro in dieser kurzen Zeit ungestört und arbeiten Sie erst weiter, wenn das Bild wieder stabil ist.
Durch den Kickstart von USB Stick, kann sich HitmanPro bereits vor der Benutzeranmeldung starten
Unter dem Button “Einstellungen” findet man verschiedene Einstellungen von HitmanPro.Kickstart. Hier können über die verschiedenen Menüs die Einstellungen von HitmanPro.Kickstart vorgenommen werden. So können hier eventuell nötige Proxy Einstellungen vorgenommen werden, die Sprache von HitmanPro.Kickstart ausgewählt werden und auch eine Lizenz erworben werden. HitmanPro.Kickstart ist auch ohne Lizenz 30 Tage lauffähig, so dass man einen befallenen PC damit von einem Sperrbildschirm-Trojaner säubern kann.
Mit der Einmal-Lizenz 30 Tage lauffähig.
Unter dem Menüpunkt “Erweitert” lässt sich ein eventuell vorhandenes API-Konto bei VirusTotal einbinden, was für Privatanwender eher uninteressant sein wird. Mit dem Early Warning System benutzt HitmanPro ein System um Software anhand ihres Verhaltens und ihrer Betriebsweise zu klassifizieren und zu bewerten. Er bietet dem Experten die Möglichkeit auch unbekannte Dateien zu bewerten und als mögliche Schadsoftware einstufen zu können. Dieser Modus benötigt, anders als der reguläre Scan-Modus, keine Netzwerkverbindung, so dass er auch auf einem infiziertem Rechner, der vom Netzwerk getrennt wurde ausführbar ist. Der reguläre Scan sendet von ihm als verdächtig eingestufe Dateien an die “Scan Cloud” , einem Cluster aus mehreren Rechnern, welche die Datei bewerten. Ist die Datei bereits bekannt, so gibt die “Scan Cloud” innerhalb weniger Millisekunden die Rückantwort ob die Datei schädlich oder ungefährlich ist. Ist die Datei der “Scan Cloud” unbekannt, so wird sie mittels Antivirenlösungen von 5 verschiedenen Herstellern analysiert und den Befund an HitmanPro zurückgeben. So ist sichergestellt, dass unbekannte Dateien bereits nach dem ersten Scandurchlauf klassifiziert, im Bedrohungspotential eingestuft werden und das Ergebnis des Scans durch die “Scan Cloud” jedem weiteren Benutzer von HitmanPro zur Verfügung steht.
Einbindung eines VirusTotal Kontos und Aktivierung des Early Warning Scorings
Klicken wir im Hauptbldschirm von HitmanPro.Kickstart auf “Weiter” so beginnt HitmanPro.Kickstart mit dem Systemscan. Ist dieser abgeschlossen, wird eine Übersicht der gefundenen Bedrohungen angezeigt. Hier kann man die jeweiligen Elemente auswählen und eine nähere Erläuterung zu ihnen erhalten.
Die gescannten Dateien werden anhand ihres Bedrohungspotentials bewertet.
Das HitmanPro Fenster verfärbt sich von blau nach rot, wenn HitmanPro eine Bedrohung erkennt. Findet HitmanPro Schadsoftware, so zeigt er die gefundenen Infektionen und bietet auf Wunsch auch eine genauere Erläuterung der gefundenen Schadsoftware an. Dazu muss man einfach auf den entsprechenden Eintrag klicken und erhält eine Beschreibung der Datei und der Klassifizierung durch HitmanPro.
HitmanPro hat Bedrohungen entdeckt und zeigt diese an. Durch Klick auf die einzelnen Befunde lässt sich eine detaillierte Beschreibung des Fundes aufrufen.
Die Beschreibung eines Fundes – hier der Datei “Rechnung.exe” zeigt eine detaillierte Analyse der von HitmanPro als Schadsoftware eingestuften Datei an. Es zeigt sich, dass die Datei von verschiedenen Antivirenprogrammen als “Ransomware”, also als ein Sperrbildschirm – oder sogenannter BKA-Trojaner erkannt wird.
Durch die “Scan Cloud”-Technologie kann in extrem kurzer Zeit auf Bedrohungen reagiert werden. Ist eine Bedrohung bei einem einzelnen Benutzer identifiziert, steht die Analyse der Malware automatisch allen anderen HitmanPro Usern zur Verfügung. So ist sichergestellt, dass die Datenbaken von HitmanPro stehts auf dem aktuellsten Stand gehalten sind. Steht keine Netzwerkverbindung zur Verfügung, so bietet HitmanPro die Möglichkeit im Expertenmodus zu scannen. In diesem “Early Warning System” genannten Modus bewertet HitmanPro Software anhand ihres Verhaltens und ihrer Betriebsweise und ordnet diese einer Bedrohungsstufe zu. Der versierte Anwender kann hier anhand der Analyse von HitmanPro und den ausgegebenen Daten selbst entscheiden, ob ein gefundenes Programm als bedrohlich einzustufen ist oder nicht. Je höher der von HitmanPro ausgegebene Score, desso warscheinlicher ist ein gefundenes Programm als schädlich einzustufen.
Detaillierte Auskunft über die als Schadsoftware eingestufte Datei
Nach dem Scandurchlauf kann man für die einzelnen Dateien die gewünschte Aktion wählen (voreingestellt ist hier “löschen”) , bei einem Klick auf “weiter” wird diese alsdann ausgeführt und der PC von der gefundenen Schadsoftware befreit. Sollten in der Liste erwünschte Elemente aufgeführt sein (z.B. manche Cockies) so kann man per Dropdown Menü auswählen, wie mit den einzelnen Dateien verfahren werden soll.
Für jede Datei lässt sich in HitmanPro eine eigene Aktion festlegen
Danach wird eine Zusammenfassung der Funde und Aktionen gezeigt in welcher alle von HitmanPro.Kickstart vorgenommenen Änderungen nochmals aufgelistet werden. Diese können auf Wunsch auch als Logdatei im Textformat gespeichert werden.
EIne Übersicht der von HitmanPro.Kickstart vorgenommmenen Dateioperationen.
Mit einem Klick auf “weiter” zeigt HitmanPro eine abschliessende Übersicht an und wird nach Betätigung des “schliessen” Buttons den Rechner neustarten um den Scan abzuschliessen. Beim Neustart werden eventuell zur Laufzeit von HitmanPro nicht zugängliche Teile von Schadsoftware bereinigt, so dass sich das System bei erreichen des Windows Logons im gewünschten, schadsoftwarefreien Zustand befindet.
Abschliessende Übersicht mit einer kleinen Statistik.
Ein erneuter Scandurchlauf mit HitmanPro sieht nach Bereinigung des Rechners dann normalerweise so aus:
HitmanPro hat keine Bedrohung gefunden.
Damit ist den Rechner von Schadsoftware befreit. Es empfiehlt sich, den Scan nach einigen Neustarts des Rechners, bzw. nach einiger Zeit erneut durchzuführen um sicherzugehen, dass eine gefundene Schadsoftware restlos beseitigt wurde und keine Programmteile online nachladen konnte. Auch sollte man im Falle einer vorhergenden Infektion des Rechners diesen mit mehreren Tools testen, um verschiedene unabhängige “Meinungen” einzuholen. Empfehlenswert sind hier z.B. unter anderem
Malwarebytes Antimalware oder auch
ESET´s Onlinescanner.
Im 3. Teil unseres Workshops gehen wir auf die Sidekick CD ein, welche es ermöglicht, HitmanPro.Kickstart auch auf Systemen einzusetzen, welche nicht von USB booten können.
