Tatort Internet: Eine Reise ins RAM

Inhaltsverzeichnis

Es ist Freitagmittag und ich freue mich auf ein frühes Wochenende, als mein Handy klingelt. Am anderen Ende der Leitung vernehme ich die aufgeregte Stimme von Wolfgang, der soeben einen Anruf seiner Bank bekommen hat, dass sein Bankkonto vorübergehend gesperrt ist. Seine Bankdaten seien auf einem russischen Server aufgetaucht und von seinem Konto wurden bereits 2000 Euro abgebucht.

Der Sachbearbeiter hat Wolfgang eröffnet, er habe ziemlich sicher einen Trojaner auf seinem PC. Das könne doch gar nicht sein, schimpft der so Beschuldigte am Telefon. Schließlich habe er einen aktuellen Viren-Scanner im Einsatz, eine Firewall und das alles halte er auch immer aktuell. „Erklär das deinem Bankmitarbeiter“, erwidere ich bewusst abweisend, in der Hoffnung, den absehbaren Hilferuf vielleicht doch noch abzuwenden.

Das habe er doch bereits, jammert Wolfgang unbeeindruckt weiter. Doch der habe sich davon nicht beeindrucken lassen und behauptet, dass es bereits mehrere solche Fälle bei anderen Kunden gegeben habe. Und in allen habe sich letztlich ein Online-Banking-Trojaner auf dem PC gefunden. Bevor ich antworten kann, kommt das Unvermeidbare: „Frank, du kennst dich doch mit solchen Sachen aus.“ Ob ich denn nicht mal eben schnell einen Blick auf seinen PC werfen könne, um diesem Herrn klar zu machen, dass der sauber sei. Mir würden die doch viel eher glauben.

Ich verdrehe unwillkürlich die Augen; normalerweise versuche ich, solche Hilferufe
irgendwie abzuwimmeln. Denn wenn ich eines in über zehn Jahren Viren-Analyse gelernt habe, dann ist es: So etwas wie „mal eben schnell“ gibt es da nicht. Und wenn man einmal anfängt, dann hat man die Administration der Rechner am Hals. Aber Wolfgang ist ein richtig guter Kumpel und er hat noch was gut bei mir. Also lass ich mich breitschlagen und schwing mich auf mein Fahrrad.

Eine knappe Stunde später sitze ich in Wolfgangs Arbeitszimmer und lasse die ganze Arie noch mal über mich ergehen. Während ich Wolfgang schonend beibringe, dass das alles wirklich nach einem Trojaner auf seinem PC klingt, fahre ich mein Analyse-System hoch, das ich an einen freien Port seines Heim-Routers anstecke.

Dann wende ich mich Wolfgangs PC zu – Windows natürlich. Das kleine Tool winmsd.exe zeigt mir, womit ich es genau zu tun habe: einem Dinosaurier mit Windows XP Service Pack 3, 32 Bit und 512 MByte RAM. Der Kommandozeilenbefehl ipconfig /all verrät mir nicht nur die aktuelle IP-Adresse 10.64.234.28, sondern auch, dass der PC sie von einem System mit 10.64.234.1 bekommen hat, das offensichtlich als Standard-Gateway, DNS- und DHCP-Server fungiert. Wolfgang bestätigt mir stolz, dass er das standardmäßig verwendete 192.168.0er-Netz in seinem WLAN-Router „auf was Vernünftiges“ umkonfiguriert hat. Ein Kontrollblick auf mein Analyse-System bestätigt, dass es von diesem Router mit Adressen versorgt wurde und im gleichen Netz die 10.64.234.54 erhalten hat.

Bevor Wolfgang mich weiter an seinen Netzwerk-Kenntnissen teilhaben lassen kann, wende ich mich wieder seinem PC zu und stecke den USB-Stick mit meiner privaten Tool-Sammlung ein. Schreibgeschützt – wie ich mich davor noch durch einen kurzen Blick auf den kleinen Schalter an der Seite vergewissere. Leider sind USB-Sticks mit solch einem Hardware-Schreibschutz aus der Mode gekommen und mittlerweile fast nicht mehr zu bekommen.

Der Schnappschuss

Nachdem Wolfgang bereits einen ergebnislosen Komplett-Scan mit seinem Viren-Scanner absolviert hat, halte ich mich damit nicht weiter auf, sondern steige gleich richtig ein: WinDD ftw! An den neuen Namen MoonSols Windows Memory Toolkit kann ich mich einfach nicht gewöhnen. Matthieu Suiches kleines Tool schreibt den aktuellen Inhalt des physischen Hauptspeichers in eine Datei – auf Wunsch auch gleich übers Netz auf ein Analyse-System.

Zunächst werfe ich auf meiner Analyse-Station mit win32dd.exe /l /f memdump.dmp den Empfänger an.

Danach wartet das Programm auf dem ach so elitären Port 1337 auf eine eingehende Verbindung des zu untersuchenden Client-Systems, um dann die ankommenden Daten in die Datei memdump.dmp zu schreiben. Da ich es mit einem 32-Bit-System zu tun habe, starte ich auf Wolfgangs PC ebenfalls die 32-Bit-Version von WinDD; doch diesmal mit dem Parameter /t 10.64.234.54, der den Dump übers Netz zu meinem wartenden WinDD-Server schiebt.

Nur ein paar Minuten später bestätigt mir der, dass er 536870912 Bytes – also den kompletten Inhalt der 512 MByte RAM des Clients – erhalten und gespeichert hat. Als ich Wolfgangs besorgten Blick bemerke, erkläre ich ihm, dass ich nicht den Festplatteninhalt kopiert habe und er sich keine Sorge um seine „privaten Bilder“ zu machen braucht. Der alte Schwerenöter entspannt sich sichtbar und gibt Ruhe.