Gegenmaßnahmen
Via Windows-Update stellt Microsoft ab sofort an jedem Patch-Day ein Update für ein kleines Virus-Entfernungsprogramm bereit. Außerdem veröffentlichten die Redmonder die Beta-Version einer Anti-Spyware-Software.
Die Virenflut schwappt weiter durchs Netz, daran hat auch das Service Pack 2 für Windows XP nicht viel geändert. Und deshalb steht Microsoft wie gehabt unter starkem Druck, Windows weiter abzusichern. Zwei neue Erweiterungen sollen dabei helfen: Ein kleines Programm zum Entfernen von Viren, die sich bereits im System eingenistet haben, und eine Antispyware-Software. Beide Programme sind noch nicht ausgereift, doch nur bei einem steht auch ausdrücklich „Beta“ drauf.
Viren-Entfernung
In der letzten Zeit hat Microsoft bereits häufiger kleine Tools veröffentlicht, die Windows-Rechner von einzelnen Viren oder Würmern säubern. Diese kleinen Programme fasst der Softwareriese nun zu einem „Malicious Software Removal Tool“ (MRT) zusammen, veröffentlicht am Patchday am 12. Januar. Es dient ausschließlich dazu, bereits befallene Rechner zu reinigen. Dazu prüft es alle laufenden Prozesse, nicht aber die Festplatte.
Die Liste der Schädlinge, die das MRT kennt, ist erschreckend kurz: Zwar erkennt und beseitigt es zuverlässig einige prominente Schädlinge wie Sasser oder Blaster. Doch viele der Viren, die etwa in der c't-Redaktion täglich zu dutzenden (Dumaru), hunderten (Bagle) oder gar tausenden (Netsky) eintreffen, sind ihm unbekannt, und von anderen weit verbreiteten Schädlingen findet es längst nicht alle im Umlauf befindlichen Varianten (Mydoom). Doch selbst bei den bekannten Schädlingen ist eine hundertprozentige Reinigung des Systems nicht garantiert, denn Viren wie Sasser haben oft andere Schädlinge wie Phatbot im Schlepptau, die das MRT dann wieder nicht in allen Varianten erkennt.
Weil es keinen vorbeugenden Schutz bietet und nur wenige Schädlinge kennt, kann das MRT einen echten Virenscanner natürlich nicht ersetzen. Letztlich vermag das Tool nur in einer Situation zu helfen: Wenn ein Virenscanner einen Schädling entdeckt, der Anwender aber dessen Reinigungsfunktion misstraut und lieber auf ein von Microsoft programmiertes Windows-Reinigungstool setzt. Doch dann muss man es erst mal finden, denn Microsoft versteckt das MRT.
Die meisten Anwender dürften das MRT über das automatische Windows-Update bekommen. Das lädt das Tool herunter und startet es einmalig in einem stillen Modus. Findet es keine Schädlinge, beendet es sich ebenso stillschweigend. Der Anwender erhält in diesen Fall keine Information darüber, was überhaupt passierte, auch von der Log-Datei Mrt.log im Ordner Windows\Debug erfährt er nichts. Wann das Windows-Update es das nächste Mal startet, weiß nur Microsoft, ein lokaler Zeitplaner ist nicht enthalten.
Das Versteckspiel erschwert einen erneuten Start des MRT, denn es trägt sich nicht im Startmenü ein und ist auch auf der Platte nur dann zu finden, wenn man weiß, wonach man suchen muss. Klappte alles, finden Sie es im Windows-Verzeichnis unter SoftwareDistribution\Download\Install, das Programm hat dann den Namen „Windows-KB890830-DEU.exe“. Leider klappt es nicht immer: Auf einigen unserer Testrechnern war das Programm aus bislang unbekannten Gründen so nicht zu finden, aber dennoch vorhanden: Im Ordner SoftwareDistribution\Download lag eine 256 KByte kleine Datei ohne Dateiendung und einem kryptischen, 40 Zeichen langen Namen. Nach dem Umbenennen etwa in MRT.exe ließ es sich starten. Wer sich das ersparen will, kann das Programm auch separat herunterladen (siehe Soft-Link).
Anti-Spyware
Zusätzlich zum MRT veröffentlichte Microsoft eine Beta-Version von „Microsoft AntiSpyware“ (MAS, zu bekommen via Soft-Link). Die basiert auf einem Programm des Ende letzten Jahres von Microsoft übernommenen Anti-Spyware-Spezialisten Giant. Die MAS überwacht mit Hilfe eines automatisch aktualisierbaren Signatur-Pools diverse Registry-Einträge, klappert PC-Speicher sowie Dateien auf der Festplatte ab und analysiert einige in Systembibliotheken vergrabene Ressourceneinstellungen des Internet-Zugangs. Das erledigt das Programm wahlweise auf Aufforderung (On Demand) oder aber kontinuierlich im Hintergrund (On Access).
Die MAS offeriert nicht nur, suspekte Programm zu beseitigen, sondern auch sie in Quarantäne zu nehmen. Zu verdächtigen Befunden bietet das Programm weitere Informationen, ein eigener Assistent leitet sie auf Wunsch außerdem an Microsoft weiter, um bei Bedarf einen Beitrag zur Aktualisierung der Spyware-Datenbank zu leisten.
Wenn die MAS erst mal fertig ist, könnte sie tatsächlich einen wertvollen Beitrag zur Systemsicherheit leisten. Spannend bleibt dabei die Frage, ob das Programm dann nicht nur Spyware, sondern alle unerwünschten Programme findet und beseitigt. Für die Anwender ist es schon lange ein Ärgernis, dass sie sich mit verschiedenen Programmen vor unterschiedlichen Schädlingstypen schützen und die auch noch zusätzlich zu ihrem Betriebssystem beschaffen müssen. Technisch sollte das kein Problem darstellen, zumal die MAS mit On-Access-Wächter und Signatur-Datenbank auch bereits die Grundbestandteile eines Virenscanners an Bord hat. Und Spekulationen über einen solchen Virenscanner von Microsoft gibt es bereits länger.
