Das Programm Run PE Detector von den Sicherheitsspezialisten Phrozen aus Frankreich sucht nach feindlicher Überwachungssoftware. Es hält ausschau nach sogenannten Remote Administration Tools (RATs). Diese Art von Programmen gibt es zwar auch in legalen Varianten, doch mit der Abkürzung RATs werden fast immer nur Schadprogramme bezeichnet. Zu den bekanntesten RATs zählen etwa Back Orifice, Sub Seven, Black Shades und Dark Comet. Hat ein RAT einen PC befallen, kann der Angreifer diesen komplett über das Netzwerk oder Internet fernsteuern. Der Hacker hat also Zugriff auf die Daten des PCs und kann diesen kontrolliern.
Modernen RATs ist fast immer eines gemeinsam: Sie injizieren ihren Code in einen legetimen Prozess von Windows. Diese Technik wird als Run PE bezeichnet. Oft sucht sich das RATs eine Datei des Internet Explorer aus. Denn dieser hat fast immer das Recht, durch die Firewall hindurch Daten zu schicken. Auf diese Weise kapert das RAT nicht nur den Internet Explorer, sondern kann gleichzeitig auch seine Firewall-Berechtigung nutzen.
Die RATs injizieren ihren Code oft erst dann in den Prozess, wenn sich dieser im Arbeitsspeicher befindet. Die Datei auf der Festplatte lassen sie unberührt. So ist es für ein Antivirenprogramm deutlich schwerer, das RAT zu erkennen.
RATs suchen und beseitigen: Entpacken Sie das Tool Run PE Detector und starten es. Eine Installation ist nicht nötig. In der Registerkarte „Running Process“ listet es alle aktiven Programme auf. Klicken Sie rechts oben auf „Run Scan“, um diese Prozesse untersuchen zu lassen. Ist alles in Ordnung meldet Run PE Detector „Your System looks clean“.
Falls Sie aber eine Infektionswarnung erhalten, wechseln Sie auf die Registerkarte „Malicious Applications Location“. Dort sehen Sie, welcher Prozess gekapert wurde und meist auch, wo die feindliche Datei dazu gespeichert ist. Die Macher von Run PE Detector sagen, dass die Erkennungsleistung ihres Tools sehr gut ist. Es kann also recht zuverlässig feststellen, ob ein Prozess verseucht ist. Das Tool ist aber nicht so gut darin, das zugehörige RAT komplett zu entdecken und zu entfernen. Die Macher empfehlen bei einer Infektion deshalb, den PC gründlich von einem Antivirenprogramm scannen zu lassen. Betroffene sollten dafür ein anderes Antivirenprogramm verwenden, als das bereits installierte. Denn dieses hat ja bereits schon versagt. (PC-Welt)