|
13.01.2026
09:00 Uhr
|
Um Schadsoftware zu finden, eignen sich verschiedene kostenlose und Open-Source-Tools. Erst deren Kombination erlaubt es, die Gefahrensituation einzuschätzen.
Wer bei einem Verdacht auf einem einzelnen Rechner schnell prüfen will, ob sich dort Schadsoftware eingenistet hat, kann dafür verschiedene kostenlose und Open-Source-Tools nutzen. Werkzeuge wie THOR Lite, YARA und ClamAV spüren verdächtige Dateien auf und PersistenceSniper und trawler decken Persistenzmechanismen auf. Ergänzt durch bewährte Tools wie Autoruns, Sigcheck und DensityScout entsteht eine schlagkräftige Sammlung für den Incident-Check. Der Artikel stellt die Werkzeuge im Detail vor, erklärt ihre Ausgaben und zeigt, wie man Malwarefunde bewertet. Um die Werkzeuge greifbar zu machen, greift er auf Beispiele mit der Schadsoftware brbbot.exe zurück, die der zweite Teil der iX-Reihe zum Reverse Engineering analysiert hat.
Der Scanner THOR Lite eignet sich für einen schnellen Rundumcheck verdächtiger Dateien und Spuren. Es handelt sich um einen Indicators-of-Compromise-Scanner (IOC), der Schadsoftware, Angreifertools und auffällige Aktivitäten auf kompromittierten Systemen erkennt. THOR Lite ist die kostenlose Variante des kommerziellen Produkts von Nextron Systems und erfordert lediglich eine kostenfreie Lizenz, die nach der Eingabe von Kontaktdaten über die Webseite erhältlich ist. Das Tool läuft auf Windows, Linux und macOS, benötigt keine Installation und bringt ein Open-Source-Datenset von rund 4.000 YARA-Regeln mit, darunter solche, die Webshells, Hacktools, bösartige Skripte und Dateien erkennen. Zusätzlich analysiert THOR Lite laufende Prozesse und Netzwerkverbindungen.
Scans lassen sich in unterschiedlichen Modi starten: default, quick, soft oder intense. Für einen besonders gründlichen Scan auf einem Windows-System nutzt man den folgenden Befehl: