Infos zum Thema werkzeuge

NetSetMan: Verwaltet bis zu sechs verschiedene Profile der Netzwerkeinstellungen: IP Adressen, Subnet Masken, Gateways, DNS Server, Computername, Arbeitsgruppe, DNS Domäne, WINS Server, Standard-Drucker sowie Scripte

Bei Verdacht auf eine Infektion mit einem Bot kann man den Rechner statt mit Rootkit-Detektoren und Virenscannern auch mit einem Netzwerkanalysator wie Wireshark untersuchen. Dazu beobachtet man mit einer lokalen Installation des Tools den Datenverkehr der Ethernetschnittstelle. Viele Bots versenden größere Mengen von UDP-Paketen an ihren Kontrollserver, was sich in zahlreichen mitgeschnittenen Paketen in Wireshark äußert. Oft verraten sich Bots durch den Verbindungsaufbau zu einem Channel auf einem IRC-Server. Praktischerweise zeigt Wireshark bei den mitgelesenen Paketen gleich an, um welche Art es sich handelt, sodass man IRC-Verkehr sehr schnell erkennt. Zwar verschlüsseln einige Bots ihre IRC-Kommunikation, aber allein der Kontakt zu solch einem Server sollte bereits Hinweis genug sein – sofern man einen selbst installierten IRC-Client als Ursache ausschließen kann. Um die beim Sniffen aufkommende Datenmenge zu reduzieren, sollte man vor dem Start von Wireshark alle Online-Anwendungen und Update-Dienste beenden. Wireshark benötigt WinPCap, das bereits in der Installationsdatei enthalten ist und mitinstalliert wird. Das Programm ist auch als portable Version erhältlich. (dab) WinPCap wird auch bei der portablen Version installiert und braucht dafür Administratorrechte.

CurrPorts: Listet alle momentan auf dem Rechner geöffneten TCP/IP- und UDP-Ports auf; zu jedem gelisteten Port werden Detailinformationen, etwa zum Prozess, der den Port öffnete, angezeigt; erlaubt zudem das Schließen nicht gewünschter TCP-Verbindungen sowie das Beenden einzelner Prozesse und markiert verdächtige Prozesse und geöffnete Ports farblich; die deutsche Sprachdatei kann hier heruntergeladen werden