Sind das gefährliche Dateien?

27.9.2021

Inhaltsverzeichnis

arp.exe hostname.exe ntdutil.exe schtasks.exe at.exe ipconfig.exe pathping.exe systeminfo.exe bitsadmin.exe nbtstat.exe ping.exe tasklist.exe certutil.exe net.exe powershell.exe tracert.exe cmd.exe net1.exe qprocess.exe ver.exe dsget.exe netdom.exe query.exe vssadmin.exe dsquery.exe netsh.exe qwinsta.exe wevtutil.exe find.exe netstat.exe reg.exe whoami.exe findstr.exe nltest.exe rundll32.exe wmic.exe fsutil.exe nslookup.exe sc.exe wusa.exe

Was sind diese?

Wenn Sie feststellen, dass IIS (die Webserver-Suite von Microsoft) eine dieser Dateien ausgeführt hat, hat wahrscheinlich ein Angreifer versucht, in Ihr System einzudringen.

Die genannten Dateien stellen an sich keine Bedrohung dar, da sie Teil des Betriebssystems sind. Sie sind jedoch häufig verwendete Werkzeuge im Falle eines Angriffs, gerade weil sie schon vorhanden sind und viele Funktionen enthalten, die beispielsweise das Herunterladen von Malware oder das Lesen von Systemdateien ermöglichen.

Das Protokoll dieser Dateien kann zum Beispiel so untersucht werden:

Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=1;} | Where {$_.message -like "*ParentImage: C:\Windows\System32\inetsrv\w3wp.exe*"} | %{ $_.properties[4]} | Sort-Object -Property value -Unique