HijackThis ist ein gern eingesetztes Programm zur Bekämpfung von Malware aller Art, aber was macht dieses Programm so besonders? Selbst im RR Board wird dieses Tool von „Experten“ empfohlen zum Scannen des Computers auf schädliche Programme. Die Frage ist nur was kann dieses Tool wirklich. Hier ein kleiner Test.
Zunächst musste ich erst mal einen kleinen Schock überwinden als ich mir das Programm näher angeschaut habe: HijackThis wurde in Visual Basic 6 programmiert. Da kann man nur hoffen, dass TrendMicro ihre anderen Produkte nicht auch mit dieser toten Programmiersprache erstellt.
Prozessliste
Das Herzstück eines Anti-Malware Programms ist der Teil, der die Prozesse des Computers ausliest und anzeigt oder analysiert. Es gibt unter Windows 3 verschiedene Standard Möglichkeiten wie man diese Prozessliste mit Windows APIs auslesen kann. HijackThis verwendet leider nur eine und zwar EnumProcesses. Das finde ich sehr schwach, denn selbst das billigste Rootkit und jeder bessere Trojaner kann sich davor verstecken. Der nächste Schock folgt aber unter einem 64-Bit Betriebssystem: HijackThis zeigt keine 64-Bit Prozesse an. Das ist sehr schlecht. 64-Bit Malware ist zwar noch selten, aber die Zahl wird sich bald enorm erhöhen. Die Ausgabe ist auch sehr schlecht, denn es werden keinerlei Zusatzinfos zu den Prozessen angezeigt, der Pfad allein ist viel zu wenig.
Autorun Scan
Die 2. Wichtigste Komponente ist der Autorun Scan. In Windows gibt es zahlreiche Möglichkeiten (weit über 10 allein in der Registry) ein Programm automatisch starten zu lassen. Malware nistet sich natürlich gerne in den Autostart, deshalb ist ein guter Scan sehr wichtig. Als Referenz dient hier das Programm AutoRuns von Sysinternals. Auch hier versagt HijackThis. Es erkennt zwar einige, aber eben nicht alles. In meinem Win XP Testsystem erscheint sogar 4 mal ctfmon.exe in der Ausgabe. Schön, dass HijackThis die Microsoft eigenen Programme oft anzeigt, aber die entscheidenden werden natürlich nicht angezeigt. Auch schlecht ist, dass die Registry Pfade abgekürzt werden.
Ausgabe
HijackThis ist kein Virenscanner, der User muss also selber entscheiden ob ein Programm schädlich ist oder nicht. Genau deshalb ist es auch äußerst wichtig eine gute Ausgabe zu erstellen, die dem Nutzer hilft etwas Schädliches zu erkennen. Auch hier versagt HijackThis auf ganzer Linie. Das Ausgabe Logfile ist nicht verständlich und viel zu kryptisch. Selbst Profis haben hier extreme Schwierigkeiten das Logfile auszuwerten. Zum Glück gibt es eine Webseite die einem dabei helfen soll hijackthis.de trotzdem stehen viel zu wenig Infos in dem Logfile, somit ist eine genau Auswertung kaum möglich. Die angezeigte Bewertung ist nur scheinbar gut, denn was wäre z.B. wenn ein Trojaner die als Gut eingestufte winlogon.exe ersetzt? Gut hingegen ist die HijackThis GUI Anzeige. Man kann sich Infos anzeigen lassen zu den kryptischen Gruppen IDs. Die Erklärung dieser IDs finde ich sehr gut.
Fazit
Der Prozesslister ist mangelhaft und darauf sollte man sich auf keinen Fall verlassen. Selbst mit meinem selbstprogrammierten „FXP Tool“ ist man hier besser dran, da es einfache versteckte Rootkits trotzdem anzeigt. Eine weitere sehr gute Empfehlung ist der Process Explorer von Sysinternals. Wer auf Sicherheit wert legt, sollte sich gelegentlich mit dem Process Explorer seine eigene Prozess Liste anschauen um ein Gefühl dafür zu bekommen was schädlich sein kann. Auch beim Autoruns Scan sollte man lieber das Tool von Sysinternals verwenden die Ausgabe ist viel besser und genauer als bei HijackThis. Die Sysinternals Tools bieten auch eine sehr nützliche „Verify“ Funktion mit der man eine erste Orientierungshilfe hat. Alle verifizierten Prozesse und Autorun Einträge sind zwar nicht zu 100% unschädlich, aber in der Regel schon.
HijackThis kann ich persönlich nicht wirklich empfehlen. Trotzdem hat das Tool seine Daseinsberechtigung und kann helfen einfache Infektionen zu erkennen. Man ist trotzdem besser dran, wenn man sich lieber auf seinen Virenscanner verlässt (Empfehlung: avast Free Antivirus) und bei Anzeichen einer Infektion lieber die Neuinstallation wählt, als mit HijackThis versucht es selber zu lösen.
Sehr schöner Artikel.
HiJackThis ist nicht so stark wie es scheint. Teilweise zu recht, teilwesie nicht. Vollständige Sicherheit wird es zwar nie geben, dennoch versagt er schon bei einigen simplen Checks. Eventuell regt der Artikel ja den Ein oder Anderen an ein neues Programm zu entwickeln, dass die groben Schwächen eliminiert oder HiJackThis ergänzt.
Schon klar, dass das Programm einfach zu bedienen ist und einen Output liefert mit dem man einfache Infektionen erkennen kann. Das Programm ist aber verbesserungswürdig und nicht sehr verlässlich. Der entscheidende Punkt ist: Wer einen sauberen PC haben will muss/sollte lieber auf andere Programme ausweichen oder direkt Neuinstallieren. Wie immer kommt es natürlich darauf an für wie wichtig man sowas hält. Ich wollte nur mal klarstellen, dass HijackThis nicht so eine „ultimative Waffe“ ist wie viele es gern hinstellen…
Der Punkt ist einfach, dass man mit Highjackthis schnell und einfach Informationen an andere weiter reichen kann. Die Leute haben einfach keine Lust die 20 von dir genannten Programme zu installieren und jeden output einzeln zu posten. Das ist der entscheidende Punkt.
Es ist einfach ein Report-Tool, auch würde ich nicht immer direkt das Wort „versagt“ verwenden.