You are here: Home » Dokumentation » Netzwerk » Entfernung von Bots
Sorry, this page is not translated yet.

Entfernung von Bots

Allgemeines

Mit einem Bot infizierte Systeme sind zumeist Bestandteil eines IRC-gesteuerten Botnetzes. Die infizierten/kompromittierten Systeme (Bots) erhalten darüber Anweisungen und übermitteln z.B. protokollierte Passwörter oder ausgelesene Registrierungsschlüssel (z.B. Produkt-CD-Keys) an einen (bzw. mehrere) zentrale (IRC-)Server.

Automatisierte Entfernung von Bots

Aktuelle Botvarianten werden von Anti-Virensoftware zumeist nicht erkannt. Für eine etwaige Entfernung ist die automatische Systemwiederherstellung zu deaktivieren und das System im abgesicherten Modus zu starten (siehe auch Erste Hilfe bei Viren & Co des BSI).
Neben der üblichen Anti-Viren-Software können z.B. nachfolgende Werkzeuge (bzw. eine Kombination aus diesen Tools und Anti-Virensoftware) zur Entfernung von Bots nützlich sein:

sowie ggf. Online-Virenscanner wie z.B:

und z.B. die folgenden Webseiten über die eine Analyse von einzelnen verdächtigen Dateien vorgenommen werden kann:

Bitte Beachten Sie, dass bei einer automatisierten Entfernung von Bots zumeist nicht alle Spuren bzw. Systemveränderungen entfernt bzw. rückgängig gemacht werden.

Generelle Empfehlung nach einer Bot-Infektion

Da von einem Bot vorgenommene Systemänderungen nicht zuverlässig erkannt und rückgängig gemacht werden können, ist eine Neuinstallation des Systems dringend angeraten. Üblicherweise besitzen Bots einen Keylogger und eine Netzwerksniffer-Funktion. Deshalb muss davon ausgegangen werden, dass Authentifizierungsdaten ausgespäht wurden – dies hat zur Folge, dass ALLE Passwörter (ggf. auch auf anderen Systemen) geändert werden sollten.

Einfallstor schliessen

Primäres Einfallstor von Bots (wie rbot, agobot) sind zumeist fehlende Microsoft-Sicherheitsupdates. Sollte nur der Bot entfernt werden, ohne die potentiellen Einfallstore zu schliessen, ist eine Reinfizierung binnen kurzer Zeit zu erwarten.

Typische Einfallstore sind:

Manuelle Erkennung einer Bot-Infektion

Die meisten Bots sind im Taskmanager als Prozess (mit beliebigem) Namen zu sehen. Das Programm selbst wird hauptsächlich unter %windir%\system32 abgelegt. Üblicherweise wird der Bot nach einem Systemneustart über einen der folgenden Registry-Schlüssel gestartet:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Typische Systemänderungen eines Bots sind z.B:

  • HKLM\Software\Microsoft\Ole\EnableDCOM="N"
    um DCOM zu deaktivieren (siehe KB825750)
  • HKLM\System\CurrentControlSet\Control\Lsa\restrictanonymous="1"
    um Anonymous-Verbindungen zu unterbinden (siehe KB246261)
  • Eintragungen in der %windir%\system32\drivers\etc\hosts-Datei,
    um den Zugriff auf Anti-Virensoftware-Updates zu unterbinden. Ferner werden ggf. Freigaben angelegt und/oder Standardfreigabe (IPC$, ADMIN$, C$, D$) entfernt.