Malware mit pestudio identifizieren

Durchleuchtet

Selbst aktuelle Virenscanner tun sich schwer damit, brandneue Malware zu entdecken. Mit dem kleinen Werkzeug pestudio nehmen Sie verdächtige Windows-Programme kurzerhand selbst unter die Lupe und erleichtern sich zudem die Online-Recherche. Die Bedienung des Tools ist allerdings nicht ganz selbsterklärend.
Besonders in kleineren Firmen ohne eigenes IT-Sicherheitsteam fällt es Administratoren schwer, mit zunehmend gehäuften und raffinierten Angriffen umzugehen. ... (mehr)

pestudio greift sich eine ausführbare Datei und liefert zunächst einmal zahlreiche Informationen über diese. So generiert das Werkzeug unter anderem Listen mit allen genutzten Windows-Bibliotheken und importierten (System-)Funktionen. Diese ausgelesenen Daten untersucht das Tool zusätzlich auf verdächtige Eigenschaften. Dazu zählen etwa fragwürdige Zugriffe auf die Registry oder der Aufruf von problematischen DLL-Dateien. Welche Zugriffe als verdächtig oder sogar verboten gelten, teilt dem Werkzeug eine Blacklist mit, die Anwender selbst um eigene Regeln ergänzen können. Abschließend lässt pestudio das Programm vom Internetdienst virustotal.com und somit gleich mehreren verschiedenen Virenscannern analysieren. Dabei verschickt die Software nur einen Hashwert, das Programm selbst wandert nicht durch das Internet.

Prüfung bedarf der Interpretation

pestudio bewertet alle gefundenen Probleme und markiert sie farblich. Besonders kritische Aktionen oder Daten hebt die Benutzeroberfläche rot hervor, zweifelhafte Aktionen erscheinen orangefarben. Das Werkzeug liefert allerdings nur mögliche Hinweise auf eine Malware – auch harmlose Programme greifen mitunter auf als problematisch eingestufte Funktionen zurück. Darunter fallen sogar die in Windows mitgelieferten Anwendungen und Bibliotheken. Administratoren müssen folglich die von pestudio angezeigten Informationen und Hinweise immer selbst interpretieren.

pestudio existiert in einer kostenfreien und einer kostenpflichtigen Fassung. Nur Letztgenannte dürfen Sie in einem kommerziellen Umfeld verwenden. Im Gegenzug bietet diese pestudio pro getaufte Variante gegenüber ihrer kostenlosen Kollegin ein paar nützliche Zusatzfunktionen. Unter anderem können Sie einen Report im XML-Format generieren, abgelaufene digitale Zertifikate anmahnen und DOS-Header erkennen. Darüber hinaus lässt sich die Pro-Version über die Kommandozeile

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019