"Source of Infection"-Tool von Sophos

  • Artikel-ID: 111505
  • Aktualisiert: 10 Apr 2013

Was ist das "Sophos Source of Infection"-Tool
Das Tool unterstützt Administratoren beim Ermitteln von Schaddateien, die auf Systeme im Netzwerk geschrieben werden.

Der Artikel bietet Anweisungen zur Verwendung des "Source of Infection"-Tools

Hinweis: Das Tool wird nicht auf Systemen unterstützt, auf denen Virenschutz-Software anderer Anbieter ausgeführt wird. 

Unterstützte Betriebssysteme
Version 2.0 des Tools unterstützt sowohl 32-Bit- als auch 64-Bit-Versionen der folgenden Windows-Betriebssysteme:

  • Windows XP SP2+
  • Windows Server 2003 SP1+
  • Windows Vista SP0+
  • Windows 7 SP0+
  • Windows 8
  • Windows 2008 SP0+
  • Windows 2008 R2 SP0+
  • Windows 2012

Video ansehen (englisch)

Gebrauch

Wo finde ich das Tool?
Das Tool steht unter http://downloads.sophos.com/tools/SourceOfInfection.exe zum Download bereit. Stellen Sie sicher, dass Sie die neueste Version des Tools verwenden.

Hinweis: Das Source of Infection Tool wurde aktualisiert und ist nun als Version 2.0 erhältlich.

Anweisungen zur Ausführung des Tools
Das Tool muss von einem Administrator ausgeführt werden. Bei Windows Vista und neueren Windows-Versionen mit Benutzerkontensteuerung muss das Tool über den Administratorbefehl (mit erhöhten Berechtigungen) ausgeführt werden. Das Tool wird auf Systemen ohne Virenschutzsoftware bzw. Systemen mit Sophos Anti-Virus unterstützt.

Befehlszeilenoptionen für das Tool
TDas Tool wird mit folgenden Optionen ausgeführt:

-process or -p: record processes only (do not record remote writes)
-network or -n: record remote (network) writes only (do not record processes)
-area <folder> or -a <folder>: restrict recording to accessed files in the given folder
-ext <extension> (may be repeated): restrict recording to given extensions (New to version 2.0)
-loglevel <level> or -ll <level>: trace level (1: all, 2: errors, 3: none)
-logsize <size> or -ls <size>: maximum log size (in MB), 0 - unlimited
-logfolder <folder> or -lf <folder>: redirects the logs to the given folder (New to version 2.0)
-timeout <sec> or -t <sec>: capture timeout (between 1 and 86400 sec; 0 - unlimited)
-runonly or -ro: just run, don't install or uninstall driver
-installdriver or -id: don't run (just install driver to run at boot-up)
-uninstalldriver or -ud: don't run (just uninstall driver)
-help or -h: displays this help

Hinweise zu neuen Optionen in Version 2.0.0

Mit der Option "-ext" können Sie filtern, welche Erweiterungen aufgezeichnet werden sollen. Ein Auslassen aus der Befehlszeile führt dazu, dass alle abgelegten Dateien aufgezeichnet werden. Diese Option kann mehrmals mit kumulativem Effekt genutzt werden, um bei Bedarf mehrere Erweiterungen aufzeichnen zu können.

Über die Option "-If" können Sie Protokolle in einem abweichenden Verzeichnis speichern. Das verwendete Windows-Konto muss für diesen Speicherort allerdings Schreibrechte besitzen.

Hinweise zu Optionen für alle Versionen

Die Optionen "–p" und "–n" schließen sich gegenseitig aus: "–n" dient der Nachverfolgung von im Netzwerk abgelegter Malware und "–p" der Identifizierung von lokaler versteckter Malware. Die Option "-a" kann beim Filtern irrelevanter Ereignisse hilfreich sein, wenn der Administrator den Pfad zur Schaddatei kennt.

Der area-Filter kann bei jedem Einsatz des Tools nur einmal verwendet werden. Die Protokollstufen lauten: "1 – sämtliche Informationen protokollieren (ausführlich)"; "2 – nur wichtige Informationen protokollieren (Standard)"; "3 – keine Protokollierung". Die Protokollgröße wirkt sich auf den Schreibvorgang auf "Soi.log" aus, wenn die Protokolldatei einen festgelegten Höchstwert (in MB) erreicht hat. Wenn eine Protokolldatei die angegebene Höchstgrenze überschreitet, wird eine Sicherungskopie angelegt und die Datei wird neu erstellt. (Eine ältere Sicherungskopie wird aufbewahrt.) Wenn nichts angegeben wurde oder -ls = "0" lautet, ist die Protokollgröße "unbegrenzt".

Die Optionen "-h", id" und "-ud" müssen alleine verwendet werden. Nach Ausführen des Tools (sofern die Option nicht "-h" lautete) erfasst das Tool so lange Informationen, bis es durch Drücken auf Strg. + C unterbrochen wird.

Ausgabe-Protokoll des Tools

Das Tool erstellt standardmäßig zwei Dateien im temporären Verzeichnis des angemeldeten Benutzers (von der Umgebungsvariable %temp% definiert) (Klicken Sie hierzu auf "Start" > "Ausführen", geben Sie %temp% ein und drücken Sie die Eingabetaste):

  1. Source of Infection Log.csv: Die Datei umfasst Einträge zu den oben erwähnten Ereignissen. Wenn ein Vorgang in die Datei geschrieben wurde, werden Datum und Uhrzeit, der vollständige Pfad sowie der vollständige, ausführbare Pfad des Prozesses verzeichnet. Wenn die Datei remote erstellt wurde, werden Datum und Uhrzeit, der vollständige Pfad und der Name des Remote-Systems oder die IP-Adresse (falls bekannt) verzeichnet.
  2. Source of Infection Trace.txt: Hierbei handelt es sich um das Protokoll des Tools. In der Regel werden das Starten und Beenden des Tools sowie ggf. Fehler verzeichnet. Das Tool kann jedoch auch so ausgeführt werden, dass mehr Informationen protokolliert werden. (Die Informationen können auch bei der Behebung von Problemen mit dem Tool behilflich sein.)

Sie können die .csv-Datei in Microsoft Excel importieren und dort bei Bedarf analysieren.

Beispiele

Szenario A: In einer Netzwerkfreigabe/einem mit dem Netzwerk verbundenen System abgelegte Datei

In diesem Szenario wird die Schaddatei von einem Quellsystem auf einem anderen, inspizierten System abgelegt. Hinweis: Dateien können nur in freigegebenen Verzeichnissen oder Unterverzeichnissen abgelegt werden. Die meisten Systeme verfügen über eine Administratorfreigabe (C$) mit Zugriff auf das gesamte Laufwerk.

Wenn Sie mit Sophos Anti-Virus die Freigabe ermittelt haben, in die die Schaddatei abgelegt wurde, können Sie mit dem Source of Infection Tool den infizierten Host identifizieren. Verwenden Sie hierzu die Parameter "-n" und "-a". Beispiele:

SourceofInfection.exe -n -a "c:\sharedfolder"

Das Source of Infection Tool protokolliert dann sämtliche neuen oder abgeänderten Dateien in der Freigabe. Öffnen Sie die Protokolldatei "Source of Infection Log.csv". Wenn die Schaddateien in der Protokolldatei ermittelt wurden, kann die Protokollierung durch Drücken auf Strg. + C unterbrochen werden. Beispiel einer Datei "Source of Infection Log.csv".

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:20:59","C:\sharedfolder\autorun.inf","Network","172.16.100.184"

In diesem Beispiel wurde die Datei "autorun.inf" von der IP-Adresse "172.16.100.184" um 12.20 Uhr über das Netzwerk abgelegt.

Hinweis: Wenn Sie das System isolieren, können Sie feststellen, ob es lokal oder über das Netzwerk erneut infiziert wird. Wenn die Schaddateien nicht wieder auftreten, wenn das System isoliert wird, kann die Malware sich über das Netzwerk ausbreiten. Wenn die Schaddateien wieder auftreten, wenn das System isoliert wird, lesen Sie Szenario B durch.

Szenario B: In einem lokalen Ordner/vom Netzwerk isolierten System abgelegte Datei

In diesem Szenario wird die Schaddatei von einem lokalen Prozess auf dem System abgelegt.

Wenn Sie mit Sophos Anti-Virus ermittelt haben, wo die Schaddatei abgelegt wird, können Sie mit dem Source of Infection Tool den infizierenden Prozess identifizieren. Verwenden Sie hierzu die Parameter "-p" und "-a". Beispiele:

SourceofInfection.exe -p -a "C:\Documents and settings\Administrator\Local Settings\Temp"

Das Source of Infection Tool protokolliert dann sämtliche neuen oder abgeänderten Dateien in dem gewählten Verzeichnis. Warten Sie, bis die Schaddatei wieder auftritt, und halten Sie das Tool durch Drücken von Strg. + C an. Öffnen Sie anschließend die Datei „Source of Infection Log.csv“, um die Infektionsquelle zu ermitteln. Beispiel einer Datei „Source of Infection Log.csv“:

Date/Time,File path,Process/Network,Process path/Machine name
"2010/07/15 12:32:55","C:\Documents and Settings\Administrator\Local Settings\Temp\5541syrty.exe","Process","C:\WINDOWS\svvvvhost.exe"

Hieraus geht hervor, dass die Datei "5541syrty.exe" von einem Prozess "svvvvhost.exe" im temporären Verzeichnis abgelegt wurde. Es empfiehlt sich, ein Sample der Datei "svvvvhost.exe" einzuschicken.

Szenario C: Unbekanntes oder wechselndes Zielverzeichnis

Da Malware in der Regel logischen Strukturen folgt und sich das Zielverzeichnis meist ermitteln lässt, ist dieses Szenario eher selten.

Sollte die Protokollierung aller Dateien erforderlich sein, führen Sie das Tool ohne zusätzliche Parameter aus.

Unter normalen Bedingungen werden viele Dateien vom Betriebssystem und anderen Anwendungen erstellt und geändert. Wenn kein Verzeichnis angegeben wird, enthält das Protokoll viele irrelevante Einträge.

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen