Original von Lesco
Vorallem weiß man auch nie, was die Malware alles an dem System verändert hat, wenn es z.B. eine Backdoor o.ä. bereitstellt. Foglich kann man streng genommen dann keinen Daten mehr vertrauen, auf die die Malware Zugriff hatte.
Microsoft hat da seit Aug 2003 was veröffentlicht:
http://www.microsoft.com/germany/technet/datenbank/articles/600230.mspx
Wenn Sie wissen, dass ihr System von einem Angreifer oder einem schädlichen Programm (beides wird im Weiteren als "Angreifer" bezeichnet) kompromittiert wurde, sollten Sie Sich für die korrekte Vorgehensweise an die Sicherheitsrichtlinien Ihrer Organisation halten. Der erste Schritt ist häufig nicht technischer Natur, aber dennoch berechtigt.
Bevor irgendeine weitere Aktion auf dem System vorgenommen wird, sollten Sie es physikalisch vom Netzwerk trennen. Entfernen Sie alle Netzwerkkabel, Modemverbindungen und Wireless-Netzwerkkarten. Das Entfernen vom Netzwerk verhindert, dass der Angreifer weiteren Schaden anrichtet, oder das wiederhergestellte System kompromittiert und hierdurch Informationen über Ihren Wiederherstellungsprozess erlangt. Abhängig von der Sicherheitsrichtlinie Ihrer Organisation, kann der nächste Schritt z. B. ein Duplizieren aller Daten auf den Systemen sein. So können später eine Analyse und weitere wichtige Aktionen vorgenommen werden. Dieser Abschnitt beschränkt sich auf das Wiederherstellen des Systems, und beschreibt nicht die notwendigen Schritt zur Analyse des Angriffs oder das Sichern von Beweisen.
Es gibt zwei grundlegende Methoden, um ein System zu bereinigen und es wieder verfügbar zu machen: Sie könnte entweder versuchen die Auswirkungen des Angriffs zu beseitigen, oder Sie können Sich entscheiden, die Software und die Daten aus einer nicht kompromittierten Kopie neu zu installieren. Einige Virenscanner bieten die Möglichkeit, die Auswirkungen einer schädlichen Software zu beseitigen, indem sie die durch die Software vorgenommenen Änderungen erkennen und entfernen. Zusätzliche gibt es einige frei verfügbare Tools um ein System zu bereinigen, oder die Auswirkungen einiger der bekannteren schädlichen Programme zu entfernen.
Obwohl Virenscanner möglicherweise die Auswirkungen von schädlicher Software effektiv entfernen können, gibt es einige bedeutende Punkte zu berücksichtigen:
? Die schädliche Software ist möglicherweise sehr kompliziert. Das Tool könnte bei der Bereinigung des Systems nicht in der Lage sein alle Effekte zu entfernen.
? Manche Programme (wie z. B. Code Red oder der Wurm Nimda) öffnen das System nach außen. Jeder mit Netzwerkzugriff auf das System kann vollständige Kontrolle über dieses System erlangen und jede mögliche Änderung vornehmen. Auch wenn der Virenscanner die schädliche Software entfernen kann, kann er jedoch nicht erkennen, ob nicht authorisierter Benutzer bereits Änderungen am System vorgenommen hat.
? Auch wenn ein Virenscanner-Hersteller eine neue Signatur veröffentlicht hat, die den Virus entdeckt und beseitigt, könnte es mehrere Stunden dauern bis diese zum Herunterladen zur Verfügung steht. Da schädliche Programme sehr kompliziert sein können und umfangreiche Auswirkungen haben können, kann es einige Zeit dauern bis einen Hersteller eine Signaturdatei erstellt hat, welche die Auswirkungen des Programms vollständig beseitigt.
Jeder dieser drei Punkte spricht für eine Neuformatierung aller Partitionen eines Systems, und einer neuen Installation der gesamten Software. Die Vorschläge des CERT Coordination Center zur Wiederherstellung nach einem Angriff schlagen dies ebenfalls so vor.