Kapitel II: Netzviren finden und vernichten

www.asdala.de > Netzthemen > Netzschutzfibel > Netzviren

NetzvirusGesetzt den Fall, man inter­essiert sich für ein Programm (nennen wir es X), was auf einer Netz­seite Y zum Down­load z.V. steht. Ein Internet-Benutzer kann nicht wissen, ob dieses Programm noch original (authentisch) oder schon durch unberech­tigte Zugriffe Dritter verfälscht oder mit Netzviren (lat. Viri reticulares) infiziert ist. Auch kann die herunter­geladene Datei durch abge­brochene oder fehler­hafte Downloads beschädigt worden sein. Wer Wert auf Authen­tizi­tät herunter­geladener Programme legt, sollte diese vor dem Einsatz über­prüfen. Aber wie? Der folgende Artikel erklärt, wie man sich vor Netzviren und verfälschten Programmen beim Download schützt.

  1. Prüfung der Authentizität eines Programms
  2. Woher bekommt man das MD5-Prüfprogramm?
  3. Der Prüfablauf
  4. Gegen was helfen Prüfprogramme nicht?
  5. Quellen

Prüfung der Authentizität eines Programms

Erst lädt man das o.g. Programm X von der Netzseite Y herunter, ohne es schon auszu­führen. Dann erzeugt mit einem sog. MD5-Programm eine Prüfsumme vom Programm X. Zuletzt vergleicht man diese Prüfsumme mit der Prüfsumme, die auf der Netzseite Y (hoffentlich) steht. Sind beide Prüfsummen ident, sollte das Programm unverändert sein und die Gefahr eines durch Viren infizierten oder nachträglich durch einen Trojaner ersetzten Programmes ist deutlich reduziert.

Woher bekommt man das MD5-Prüfprogramm?

KammerjägerBeim Suchen im Internet finden sich einige entsprechende Prüf­programme. Eines ist md5sum.exe (Windows) als Bestand­teil der umfassenden Unix-Tool­sammlung für Windows, z.B. die GNU-Utilities for Windows [1]. Hat man sich das kleine Programm besorgt, muß es in ein Verzeichnis eigener Wahl oder gleich direkt in den System­ordner (c:\winnt\system32 oder c:\windows\system32) kopiert werden. Linux-Benutzer können sich dies sparen: bei ihnen wird md5sum schon als Teil der System­installation mitgeliefert.

Der Prüfablauf im einzelnen unter Windows

Voraussetzung: md5sum.exe muß schon installiert sein.

  1. Zu überprüfende Datei X von Netzseite Y in Ordner Z herunterladen.
  2. Angegebene Prüf­summen­datei von Netzseite Y in Ordner Z herunter­laden. Diese Textdatei trägt typischer­weise den Namen der zu prüfenden Datei mit der Erwei­terung .md5. Sie enthält die Prüfsumme und nach einem Leer­zeichen den Datei­namen der zu prüfenden Datei.
  3. Konsole (aka Kommando­fenster, cmd.exe, command.com, DOS-Shell, Kommando­zeile, Kommando-Inter­preter) öffnen (für Unwissende: in Windows links unten Start... | Ausführen öffnen, dann cmd.exe tippen und ENTER drücken).
  4. In den Ordner Z wechseln (cd ordnername).
  5. md5sum -c dateiname.md5 eintippen, wobei dateiname.md5 die Prüf­summen­datei bezeichnet. Heißt die zu prüfende Datei ed.exe, heißt die bereit­gestellte Prüf­summen­datei also zumeist ed.md5. Gibt das Prüf­programm OK aus, ist die Datei nach der Bereit­stellung auf dem Netz­server nicht geändert worden und intakt.

Will man selbst Dateien zum Download anbieten, kann man sie mit dem gleichen Prüf­programm mit einer Prüfsumme versehen. Dann tippt man nur statt des o.g. Befehls einfach md5sum dateiname > dateiname.md5 ein und stellt Datei und Prüfsumme auf einem Server zum Download z.V.

Gegen was helfen Prüfprogramme nicht?

Außer gegen Husten, Schnupfen und Heiserkeit helfen Prüf­programme auch leider nicht gegen Programme, die schon in maliziöser Absicht programmiert und auf den Server gestellt wurden (Trojaner), also schon direkt programmierten Schad-Code enthalten, denn hier stimmt die angegebene Prüfsumme natürlich mit der zu berech­nenden überein. Eine MD5-Prüfung erkennt nur nachträg­liche Veränderungen der Datei gegenüber dem Zeitpunkt der Erstellung der ersten Prüfsumme (zumeist also zum Zeitpunkt der Erstellung des Programmes). Auch sagt eine erfolg­reiche Prüfung nichts darüber aus, ob das Programm selbst fehlerfrei arbeitet.

Gleichfalls hat man ein Problem, wenn das Prüf­programm selbst fehlerhaft oder gar böswillig programmiert ist. Hier hilft nur der Vergleich mit einem weiteren Prüfprogramm, um das Schadens­eintritts­risiko zu minimieren.

Auch der systematische Einsatz von Signaturen kann das Schadensrisiko noch einmal drastisch reduzieren, aber diese Technologie ist (noch) nicht flächen­deckend verbreitet. Aber auch hier gilt:

100% Sicherheit gibt es nicht.

Quellen

  1. SourceForge: GNU Utilities for Win32
© 2008, 2010 www.asdala.de:
Kontakt