Laut den Studien von Network Associates werden jährlich 21% der deutschen Unternehmen von Netzwerkviren befallen. Grund hierfür sind meist grobe Sicherheitsmängel. Wer heutzutage keine Anti-Virus-Software oder funktionale Firewalls in Betrieb hat, muß mit solchen Wirkungen rechnen. Das Problem von Netzwerken ist meist, daß sie so sicher sind, wie das schwächste Glied in der Kette. Es reicht ein naiver Mitarbeiter aus, der einen Anhang einer Spam-Mail öffnet, um sich einen Virus, Wurm oder Trojaner einzufangen.
In diesem Tip will ich eine Möglichkeit vorstellen, wie Sie sogenannte Netzwerk-Fluter-Viren mit Windows eigenen Bordmitteln aufspüren können. Ein solcher Netzwerkwurm ist beispielsweise der W32/Dopbot-A, der die Möglichkeiten hat, ein Netzwerk mit sinnlosen Datenpaketen zu „fluten“ und damit lahm zu legen. Meist bemerken die User des Netzwerkes den Schaden erst dann, wenn die Datenübertragungsraten extrem in den Keller gehen bzw. eine Übertragung gar nicht mehr möglich ist. Angemerkt sei, daß der folgende Test nur funktioniert, wenn eine begrenzte Anzahl der Computer des LANs verseucht sind – hat sich der Wurm (beispielsweise aufgrund fehlender Anti-Virussoftware oder Firewalls) auf alle Computer übertragen, ist nichts mehr zu retten. Aber nehmen wir den günstigeren Fall an, daß nur einer – oder wenige – Computer des LANs befallen sind.
Wie finde ich den Computer, der vom Netzwerk-Fluter-Wurm befallen ist?
Sie benötigen zur Untersuchung lediglich den Windows Taskmanager, den Sie über die Tastenkombination – STRG ALT ENTF (oder bei englischen Tastaturen CRTL ALT ENTF) aufrufen können. Diese Tastenkombination mag manchen Usern als „Affenkralle“ bekannt sein, wobei alle drei Tasten gleichzeitig gedrückt werden müssen.
Es poppt dann der Taskmanager auf, bei dem Sie den Reiter „Netzwerk“ wählen müssen. Hier können Sie dann den Netzwerkmonitor in Echtzeit beobachten – also beobachten, wie stark das Netzwerk ausgelastet ist. Ein typisches Indiz für einen Netzwerkfluter-Wurm wäre, wenn die Auslastung des Netzwerkes bei nahezu 100% liegt, obwohl keiner der angeschlossenen Computer-User augenscheinlich Daten überträgt.
Den Bösewicht können Sie über ein manuelles Ausschlußverfahren ermitteln. Sprich – Sie stöpseln jeden Computer nacheinander einzeln vom Netzwerk ab und beobachten dabei die Netzwerkauslastung auf dem Taskmanager. Sobald Sie den Computer, der „flutet“ abgesteckt haben, sinkt die Netzwerkauslastung recht plötzlich gen Null bzw. reduziert sich signifikant. Meiner Erfahrung nach, läßt sich der Fluter in einem halbwegs geschützem Netzwerk leicht finden, da meist nur ein bis max. zwei Computer verseucht sind.
Sobald der Computer ermittelt ist, muß dieser gründlich mit einer frisch upgedateten Antivirensoftware entseucht werden, bevor er wieder ans LAN angeschlossen werden kann. Ein gewisser Arbeitsaufwand läßt sich also nicht vermeiden. Aber immerhin können die restlichen User in dieser Zeit wieder normal das Netzwerk benutzen.
Viel Spaß beim Suchen!
