Malware mit pestudio identifizieren

Durchleuchtet

Selbst aktuelle Virenscanner tun sich schwer damit, brandneue Malware zu entdecken. Mit dem kleinen Werkzeug pestudio nehmen Sie verdächtige Windows-Programme kurzerhand selbst unter die Lupe und erleichtern sich zudem die Online-Recherche. Die Bedienung des Tools ist allerdings nicht ganz selbsterklärend.
Besonders in kleineren Firmen ohne eigenes IT-Sicherheitsteam fällt es Administratoren schwer, mit zunehmend gehäuften und raffinierten Angriffen umzugehen. ... (mehr)

pestudio greift sich eine ausführbare Datei und liefert zunächst einmal zahlreiche Informationen über diese. So generiert das Werkzeug unter anderem Listen mit allen genutzten Windows-Bibliotheken und importierten (System-)Funktionen. Diese ausgelesenen Daten untersucht das Tool zusätzlich auf verdächtige Eigenschaften. Dazu zählen etwa fragwürdige Zugriffe auf die Registry oder der Aufruf von problematischen DLL-Dateien. Welche Zugriffe als verdächtig oder sogar verboten gelten, teilt dem Werkzeug eine Blacklist mit, die Anwender selbst um eigene Regeln ergänzen können. Abschließend lässt pestudio das Programm vom Internetdienst virustotal.com und somit gleich mehreren verschiedenen Virenscannern analysieren. Dabei verschickt die Software nur einen Hashwert, das Programm selbst wandert nicht durch das Internet.

Prüfung bedarf der Interpretation

pestudio bewertet alle gefundenen Probleme und markiert sie farblich. Besonders kritische Aktionen oder Daten hebt die Benutzeroberfläche rot hervor, zweifelhafte Aktionen erscheinen orangefarben. Das Werkzeug liefert allerdings nur mögliche

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023