Trojaner
Trojaner
Trojanisches Pferd - Was ist das ?
Trojanische Pferde sind Programme, die eine schädliche Funktion beinhalten. Nicht selten verfügen Trojanische Pferde über ein für Anwender sehr nützliche Funktion. Die schädliche Funktion läuft lediglich im Hintergrund ab, ohne das dieses bemerkt wird.
Trojanische Pferde arbeiten nach verschiedenen Mustern. Zu einem gibt es Programme (Exe-Dateien), die keinerlei für den Anwender nützliche Funktionen aufweisen. Lediglich wird nach einem Start des vermeintlichen Programms ein Trojaner auf dem PC installiert. Damit kein Verdacht geschöpft wird, erscheinen Fehlermeldungen, dass eine bestimmte Datei nicht vorhanden ist, um das vorgegebene Programm zu starten.
Der Anwender löscht enttäuscht dieses unbrauchbare Programm und macht sich weiter keine Gedanken darüber.
Des Weiteren gibt es auch wesentlich "klügere" Trojanische Pferde, die sich hinter einem durchaus brauchbaren Programm verbergen. Wird das Programm installiert, kann es oft Monate dauern, bis ein Anwender bemerkt, dass sich ein schädliches Programm auf seinem System befindet.
Viele Trojaner installieren sich so auf dem System, damit dieses bei jedem Systemstart ebenfalls mitgestartet wird. - Somit läuft dieses Programm ständig im Hintergrund mit.
Andere Trojanische Pferde starten erst, wenn ein bestimmter Vorgang (Start eines anderen Programms) auf dem System stattfindet.
Wozu sind Trojanische Pferde in Lage, was können diese ?
Die meisten Trojaner sind darauf aus, Benutzerdaten eines Online-Dienstes auszuspähen, nicht selten nur von einem bestimmten Provider. Trojaner, die ständig im Hintergrund im betroffenen System mitlaufen, zeichnen mitunter sämtliche Tastaturfolgen auf. - Dieses bedeutet, alle Daten, die der Anwender über die Tastatur eingibt. - Hier nutzt es leider gar nichts, wenn der Anwender sein Passwort für einen Online-Dienst nicht abspeichert, sondern erst bei der Anmeldung eingibt. Die gesammelten Daten werden nach der Einwahl unbemerkt an den Autor des Trojanischen Pferdes geschickt.
Da die gesammelten Daten nach der soeben genannten Arbeitsweise, häufig viel zu groß und undurchsichtig für den Autor des Trojaners sind, arbeiten viele Trojanische Pferde weitaus intelligenter.
Die "besseren" Trojaner, zeichnen lediglich die Tastaturfolgen auf, die den "Hacker" interessieren. Dazu könnten Eingaben von Passwörtern für Online-Dienste/ Mail-Accounts/Webseiten/FTP/ Kreditkarten-Nr., Konten usw. gehören. - In einigen Fällen werden sogar Home-Banking-Programme überwacht und die Daten weitergeschickt. Für den Hacker hat es den Vorteil, er gelangt nur an die für ihn relevanten Daten und muss diese somit nicht aus einem riesigen "Datenberg" rausfiltern. Diese Arbeitsweise von Trojaner ist als sehr gefährlich einzustufen, da diese die Eigenschaften besitzen können, an sämtliche Daten eines Anwenders zu gelangen.
Des Weiteren gibt es auch ein Vielzahl von Trojanischen Pferden, die nicht ständig im Hintergrund eines Systeme mitlaufen: Diese Art von Trojanischen Pferden werden erst aktiviert, wenn der Anwender z.B. sein Programm für die Einwahl in einem Online-Dienst startet. Oder er ein so genanntes Online-Tool verwendet, wenn er sich bereits online befindet.
Der Trojaner wurde so programmiert, dass er sich die Dateien auf einem System sucht, wo ein Programm (z.B. Onlinesoftware, FTP-Mail - Programme) die Passwörter des Nutzers abspeichert: Viele Anwender nutzen auch heute leider noch die Funktion des Abspeichern von Passwörtern, damit diese nicht immer wieder neu eingeben werden müssen. - Keine Frage, dieses ist sehr praktisch, jedoch stellen diese Funktionen ein erhöhtes Sicherheitsrisiko da.
Daher rate ich dringend, keine Passwörter für Online-Dienste und was auch immer noch auf Deinem System abzuspeichern. - Der Schaden kann später weitaus höher als der Nutzen sein, ein Passwort zu speichern. - Trojaner, die nach diesem Muster arbeiten werden somit keinen Erfolg verbuchen können. Passwörter werden zwar in der Regel verschlüsselt gespeichert, jedoch kannst Du davon ausgehen, der Hacker wird in der Lage sein, diese zu entschlüsseln.
Die dritte Art von Trojanischen Pferden nennt man auch Server - Programme. - Diese Trojaner ermöglichen dem Hacker auf das betroffene System zuzugreifen. Diese Trojaner sind mit Abstand die gefährlichsten, die es zur Zeit gibt. Da diese Trojaner in Regel alle auf dieser Seite genannten Arbeitsweisen vereinen können.
Server-Programme sind zu folgendem in der Lage bzw. ermöglichen dem Hacker auf der "Gegenseite" zahlreichen Funktionen: Aufzeichnen der Tastaturfolgen, Auslesen von Passwörtern, herunter- und/oder hochladen von Dateien von/auf Dein System. Der Hacker hat mitunter vollen Zugriff auf Deinen Rechner und kann fast alles machen, was er gerade möchte. Server-Programme bestehen aus einem Clienten (dieser wird benutzt um auf andere System zugreifen zu können) und dem eigentlichen Trojaner, dem Server. Das Server-Programm öffnet auf Deinem System verschiedene so genannter Ports, damit der Zugriff auf Dein System durch den Hacker möglich wird. Der Client ist dazu in der Lage nach aktiven "Servern" irgendwo im Internet zu scannen (suchen). Somit wir dem Hacker bekannt auf welche Systeme er zugreifen könnte.
Du siehst, die Arbeitsweisen und Möglichkeiten eines Trojanischen Pferdes sind sehr breit gefächert. Auf alles bis in das letzte Detail einzugehen, würde den Rahmen dieser Seiten sprengen.
Erkennung Trojanischer Pferde:
Oft erweist es sich für den weniger versierten Anwender als recht schwierig eine Trojaner-Infektion festzustellen. Daher habe ich die Erklärungen in verschiedene Bereiche bzw. "Erkennungsmethoden" aufgegliedert.
Methode "Viren- oder Trojanerscanner":
Zunächst sollte der Anwender sich einen Virenscanner kaufen oder aus dem Internet herunterladen. Sehr viele Hersteller bieten eine in den Funktionen uneingeschränkte Testversion zum ausprobieren an.
Nachdem die Software installiert wurde, sollte unbedingt ein Update per Internet durchgeführt werden. Schließlich werden täglich neue Trojanische Pferde durch die Autoren herausgegeben. Bevor der Anwender nun zum ersten mal sein System nach Viren und Trojanern suchen lässt, sind noch ein paar wichtige Einstellungen an der Antivirensoftware zu tätigen (soweit noch nicht durch den Hersteller der Software geschehen). Das Programm ist dahingehend zu konfigurieren, indem beim Scan ALLE Dateien untersucht werden. Meißt ist diese Funktion nicht durch den Hersteller voreingestellt. Außerdem sollte das Programm in keinem Fall bei einer festgestellten Infektion sofort eine Säuberung oder Entfernung der infizierten Dateien vornehmen. Das ist sehr wichtig, da einige Trojaner den Virenscannern erhebliche Probleme bei der Entfernung bereiten bzw. diese sehr fehlerhaft entfernt werden. Das kann schnell zur Folge haben, dass ein System nicht mehr nutzbar und/oder unter Umständen kaum noch reparabel ist. Zum Beispiel der Trojaner SubSeven in neueren Version bereitet hier sehr oft erhebliche Probleme.
Wenn der Virenscanner eine Infektion feststellt, sollte sofort ein Fachmann (z.B. Support der jeweiligen Softwarefirma) zu Rate gezogen werden
Sollte die Antiviren Software keine Infektionen feststellen, so heißt das jedoch noch lange nicht, dass ein System auch wirklich Trojanerfrei ist. Wie man weiter vorgeht, wird in den nächsten Kapiteln erläutert.
Methode "Autorun - Einträge überprüfen":
In der Regel macht ein Trojaner nur dann "Sinn", wenn er sich auf dem System dahingehend installiert, indem dieser bei jedem Systemstart ausgeführt wird. Das bedeutet: Der Trojaner läuft ständig im Hintergrund des Systems mit und "wartet" nur darauf bis der User eine Onlineverbindung aufbaut.
Hier erläutere ich die wichtigsten Möglichkeiten, wo der Trojaner eine Veränderung bzw. Eintragung vornimmt, damit dieser stets ausgeführt wird.
Autostart-Ordner:
Diese Möglichkeit wird von Trojanern sehr selten genutzt. Grund: Die Entdeckungsgefahr ist zu hoch. Den Autostart-Ordner findest du z.B. wie folgt: Windows-Start - Suchen - http://www.compu-seite.de/Ordner - Autostart eingeben - Der Ordner wird angezeigt - Doppelklicken - Jetzt siehst du alle Einträge.
Win.ini:
Eine vor allem früher sehr häufig anzutreffende Methode ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht ! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach rechts (falls denn ein solcher Balken vorhanden sein sollte). Den besten Zugriff auf die Win.ini hast du, indem du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken.
Nun werden verschiedene Fenster geöffnet, auch die Win.ini. Die sysedit.exe wirst du noch öfters brauchen, wenn du die Beschreibungen weiter aufmerksam liest.
System.ini:
Eine Eintragung erfolgt unter dem Paramter "shell=". Vorsicht ! Hier ist schon eine Eintragung Namens Explorer.exe enthalten. - Die nicht löschen !!! Es könnten jedoch hinter Explorer.exe noch weitere Eintragungen erfolgen. Die System.ini findest du auf dem gleichen Weg, wie unter Win.ini beschrieben. Hier erfolgen jedoch eher seltener entsprechende Eintragungen.
autoexec.bat:
Hier solltest du ebenfalls mit dem Löschen von Eintragungen vorsichtig sein. Denn auch hier tragen sich einige harmlose Programme ein. Trojaner nutzen diese Möglichkeit jedoch so gut wie gar nicht. Da jedoch diese Möglichkeit ebenfalls gegeben ist, erwähne ich diese auch. Die Autoexe kannst du auch in der Sysedit.exe (Beschreibung unter Win.ini) einsehen und bearbeiten.
Config.sys:
Einige, wenige Trojaner tarnen sich auch als Gerätetreiber auf Windows 95/98 Systemen. Diese Trojaner lassen sich jedoch schwer realisieren und sind daher zum Glück noch recht selten. Die Config.sys ist ebenfalls mittels der Sysedit.exe auffindbar. Es sollte Ausschau nach Eintragungen unter: Device=, Install=, Devicehigh=, Installhigh= und Shell= gehalten werden. Auch hier gilt natürlich, ein Eintrag muss nicht unbedingt ein Trojaner bedeuten. Also nicht wahllos löschen oder Änderungen vornehmen.
Winboot.ini:
Im Normalfall ist diese Datei nicht vorhanden, ersetzt jedoch im Fall der Fälle die Msdos.sys. Nur unter Windows 95/98.
Winstart.bat:
Wenn hier eine Eintragung erkennbar ist, bedeutet dieses in der Regel folgendes: Eine Befehlzeile veranlasst das Kopieren einer Datei, welche vor dem letzten Systemstart gelöscht wurde. Bisher sind kaum Trojaner bekannt, die diesen Weg nutzen. Ein Beispiel hierfür wäre jedoch "DerSpäher 2".
Wininit.ini:
Nicht zu verwechseln mit der Win.ini ! Die Wininit.ini muss sich im übrigen auch nicht auf jedem System befinden. Jedoch kann hier einmalig zwecks Autorun (also Ausführung einer Datei bzw. eines Trojaners) ein Eintrag erfolgen, welcher danach sogar gelöscht wird. Im übrigen heisst die Wininit.ini im ausgeführten (geladenen) Windows-System Winit.bak Die Wininit.ini nutzen auch mitunter Virenscanner zur Entfernung von Trojanern oder auch manchen Viren.
progman.ini:
Das ist quasi noch die "alte" win.ini von Windows 3.x, welche sogar ebenfalls noch bei Start verarbeitet wird.
Win.bat:
In Normalfall entweder gar nicht vorhanden oder leer.
Cmdinit.bat:
Diese Autostartmethode ist nur unter Windows ME möglich.
Dosstart.bat:
Ebenfalls Programmaufrufe möglich, nur unter Windows 95/98
control.ini:
Auch hier ist theoretisch möglich, einen Eintrag zwecks Autorun zu tätigen. Bisher ist mir jedoch noch kein Fall bekannt, wo sich eine Trojaner hier eingetragen hat. Die Möglichkeiten wären jedoch sicherlich machbar.
Msdos.sys:
Systempfade können verbogen werden, daher auch Autostarts möglich.
Autoexec.net und Config.nt:
Nur unter den Systemen Windows 2000 und XP auffindbar.
Windows-Registrierung:
Zuerst rufst du die Registrierung deines Systems auf. - Diese kannst du u.a. in folgenden Schritten tun: Windows-Start - Ausführen - regedit eingeben - OK klicken. - Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet sich. Jedoch keine Angst, uns interessieren lediglich einige, wenige Pfade:
Kann Pfad zu einer POL-Datei enthalten, die mit Poledit bearbeitet wird und wiederum einen Autostart enthält. Der Eintrag im zweiten, genannten Pfad muss auf "0" stehen, wenn dieser Weg nicht genutzt wird.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update\NetworkPath\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update\UpdateMode\
Ruft eigentlich folgenden Paramater auf, kann aber auch missbraucht werden: %windir%\system32\userinit.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit\
Andere Autostarteinträge:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Load\
HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts\
HKEY_CLASSES_ROOT\exefile\shell\open\command\ @="%1" %*"
HKEY_CLASSES_ROOT\comfile\shell\open\command\ @="\"%1\" %*"
HKEY_CLASSES_ROOT\batfile\shell\open\command\ @="\"%1\" %*"
HKEY_CLASSES_ROOT\htafile\Shell\Open\Command\ @="\"%1\" %*"
HKEY_CLASSES_ROOT\piffile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\ @="\"%1\" %*"
Vor der Zeichenkette "%1" %* könnte noch ein Programm eingetragen worden sein. Standartmaessig ist jedoch nur die hier genannte Eintragung gegeben. Sollte hier somit noch eine ausführbare Datei (exe, com etc.) enthalten sein, so könnte sich ein Trojanisches Pferd dahinter verbergen. Bei Trojanerverdacht in keinem Fall den gesamten Eintrag entfernen, sondern nur das Programm !
Eine weitere Möglichkeit bei ICQ-Usern besteht darin:
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test\ "Path"="test.exe" "Startup"="c:\\test" "Parameters"="" "Enable"="Yes"
Browser Helper Objekts:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\
Auch der eigentliche Autostartordner kann mittels der Registry anders festgelegt werden. Auch hier lohnt sich ein Blick, wenn sonst nichts zu finden ist. Das bedeutet so viel, man könnte einen ganz anderen Autostart-Ordner über diesen Registry-Pfad festlegen und ungewünschte Dateien starten lassen:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Startup\
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Startup\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\
CommonStartup\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\
ComonStartup\
Registry Installed Components:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
Der Default-Wert lautet: "Trojaner"\StubPath - C:\WINDOWS\SYSTEM\"trojaner".exe
Registry Common Startup Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\User shell folders.
Der Eintrag heisst: C:\WINDOWS\SYSTEM\dv\ (wobei "dv" auch abweichen könnte). Unter diesem Pfad befindet sich auch der Server, sowie unter den gegebenen Umständen in einem weiteren Verzeichnis.
Tarnung als Gerätetreiber:
Ein Trojanisches Pferd kann sich auch als Gerätetreiber tarnen, welches jedoch noch verhältnismäßig selten der Fall ist. Auch erweist sich die genaue Identifizierung als nicht gerade einfach. Schliesslich kann sich dahinter auch ein harmloser Gerätetreiber verbergen, der bei Löschung mehr Schaden als Nutzen hervorbringen kann. Auch hier erfolgt eine Eintragung in der Registrierung jedoch unter einem "ungewohntem" Pfad:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\INTLD
Zur Identifizierung sollte jedoch zumindest ein Process Viewer zur Hilfe genommen werden, der unter Umständen eine der im o.g. Pfad Eintragungen als laufenden Process anzeigt. Aber auch Windows liefert von Haus aus ein sehr brauchbares Programm "Dr. Watson" mit. Im Zweifelsfall in jedem Fall einen Fachmann zu Rate ziehen (welches natürlich in allen beschriebenen Fällen dieser Rubrik gilt).
Das Trojanische Pferd "Donald Dick" macht sich diese Autorun-Methode zu nutzen.
Die in der Registrierung genannten Pfade werden als Ordner dargestellt und erreicht man mit jeweiligen Doppelklicks auf den Icons. Auch hier ist wieder Vorsicht geboten, welche Einträge gelöscht werden. Die Möglichkeit zwecks Start beim Systemstart wird von sehr vielen harmlosen Programmen (z.B. Deinstaller, Virenscannern, BackUp-Tools etc.), jedoch auch Trojanischen Pferden genutzt. Es gibt noch zahlreiche andere Eintragungsmöglichkeiten zwecks Autorun in der Registrierung. Diese werden jedoch (zum Glück) nur selten von Trojanischen Pferden genutzt.
Hilfreich ist auch das Windowseigene Programm "msconfig". Gehe also einfach auf den Start-Button (unten links Desktop), dann auf "Ausführen" und gibt msconfig ein. Über dieses Programm kannst du viele der oben genannten Einträge überprüfen und bequem ändern.
Auch über "sysedit" findest du viele der o.g. Eintragungsmöglichkeiten. Gehe vor wie unter "msconfig", gib stattdessen jedoch sysedit ein. Es werden sich mehrere Fenster in Editorform öffnen.
Der Trojaner "Sockets de Troie" kann nicht über die genannten Wege identifiziert und entfernt werden. - Dazu rate ich das Anti-Viren-Programm Kaspersky Anti-Virus (http://www.datsec.de) gegebenfalls als Testversion herunterzuladen und das System danach zu scannen. Kaspersky Anti-Virus kann diesen Trojaner entfernen.
Methode über "Explorer.exe" auf Laufwerk C:\
Aufgrund eines Bugs in Windows, wird immer zunächst die "erste explorer.exe" ausgeführt (also in Verzeichnis C:\), bevor die eigentliche explorer.exe (in c:\windows\) gestartet wird. Die explorer.exe in c:\ bewirkt, dass ein Trojaner zunächst geladen wird, der sich im Verzeichnis c:\windows\system oder anderswo befindet.
Ersetzen der Datei runonce.exe:
Bisher mir selber nur bei dem Trojaner Schoolbus bekannt. Die Original Windows runonce.exe wird durch ein modifizierte Datei ersetzt, die somit eine Autorun-Methode ermöglicht. Die Original "runonce.exe" ist unter Win95 11.264 Bytes und Win 98/ME 40.960 Bytes gross. Sollte also eine runonce.exe gefunden werden, die eine andere Grösse aufweist, so könnte sich auch hier ein Trojanisches Pferd verbergen. Ich betone KÖNNTE !
Start über aktive Inhalte des Explorers:
Active Desktop
C:\Winnt\Web\*.htt
C:\Windows\Web\*.htt
C:\Dokumente und Einstellungen \<Name des Benutzers>\Desktop als Webansicht
C:\Windows\Profiles\<Name des Benutzers>\Desktop als Webansicht
C:\Window\Desktop als Webansicht
Methode "Laufende Prozesse überprüfen":
Häufig kommt man einem Trojaner schon auf die Schliche, indem man die so genannten laufenden Prozesse überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überprüfen kann man dieses über verschiedene Wege:
Betätige die Tasten: AltGr + Strg + Entf. Nun erscheint eine Box, welche laufende Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meißten Trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" zu verstecken.
Windows liefert von Haus aus ein gutes Werkzeug zur Überprüfung aller laufenden Prozesse mit. Das Programm heisst "DrWatson". Dazu gehe auf das Windows-Startlogo (unten links im Desktop), dann auf "Ausführen" und gib drwatson ein. Nun wird das Programm aufgerufen und führt zunächst ein paar Analysen durch. Gehe auf den Menüpunkt "Ansicht" und wähle die Option "Erweiterte Ansicht". Für Anfänger erweist sich Dr Watson jedoch als recht schwierig, da es wirklich gnadenlos alles anzeigt, was dein Windows so hergibt. Für Experten in jedem Fall eine sehr wertvolle Hilfe.
Wer es jedoch einfacher haben möchte, der kann sich aus dem Internet einen so genannten "Process Viewer" herunterladen.
Methode "Überprüfung der Ports mittels Netstat":
Da wie weiter oben beschrieben, die meissten Trojaner im Hintergrund auf eine Onlineverbindung "warten", belegen diese einen Port. Die Ports kann man mittels des Programmes "netstat" überprüfen. Das Programm befindet sich von Haus aus auf einem Windows-System.
Rufe die DOS-Eingabeaufforderung auf und gib folgenden Befehl ein: netstat -a
Jedoch solltest du dieses nur offline durchführen indem keine Internetverbindung besteht. Noch besser ist es sogar, wenn du zuvor dein System nochmals neu startest, soltest du schon eine Onlineverbindung während dieser Windows-Sitzung gehabt haben.
Hier ein Beispiel, welche Meldung Netstat ausgeben könnte:
Active Connections
Proto Local Address Foreign Address State
TCP _:27374 0.0.0.0:45178 LISTENING
UDP _:27374 *:*
Wie man hier sehen kann, wird der Port 27374 "belegt". Anhand der Portliste könnte man daraus schließen, dass ein System mit dem SubSeven Trojaner neuerer Version infiziert ist. Zumindest ist es ein recht sicheres Anzeichen dafür. Jedoch möchte ich noch erwähnen, dass man anhand des belegten Ports und der Portliste nie zu 100 % bestimmen kann, um welchen Trojaner es sich genau handelt. Sehr viele Trojaner bieten die Möglichkeit einen Port selber festzulegen.
Die Überprüfung mittels einer einzigen hier genannten Methode ist nicht unbedingt empfehlenswert. Geht der Anwender jedoch alle hier genannten Methode nacheinander durch, wird man dem Trojaner sicherlich auf die Schliche kommen können.
Wichtig ! - Du solltest dir immer merken, was du auf deinem System in letzter Zeit installiert hast. - Auch hat es sich bewährt, immer wieder die genannten Möglichkeiten anzuschauen. - So ist ausreichend gewährleistet, dass kein wichtiges Programm "zerstümmelt" wird.
Weniger erfahrene Anwender sollten in jedem Fall einen Fachmann zu Rate ziehen bevor in Panik irgendwelche Dinge entfernt werden. Falsche Hanhabungen können unter Umständen das gesamte System außer Gefecht setzen !!!
Auch sollten die Berichte unter der Rubrik "Reporte" beachtet und gelesen werden. Hier sind ebenfalls viele sehr nützliche Tipps und Dokumentationen enthalten.
Schutz vor Trojanischen Pferden:
Einen 100%igen Schutz gibt es nur, wenn Du überhaupt keine neuen Programme auf Deinem System zulässt. Wenn man jedoch einiges beachtet, ist die Gefahr erheblich geringer sich ein solches "Haustier" einzufangen.
Immer wieder wird in den Medien davor gewarnt Programme aus unbekannten Quellen auf seinem Computer auszuführen. - Dazu gehören z.B. Programme von Internet-Seiten, die einem nicht bekannt sind oder auch von vorneherein etwas merkwürdig vorkommen (ich hoffe doch meine nicht....). Oder es wird einem unaufgefordert ein Programm per E-Mail zugeschickt. - Lösche solche Mails bitte vollständig, auch wenn vielleicht doch keine bösen Absichten vom Versender gegeben sind. - Aber dieses weiß man nicht und sollte somit auf Nummer sicher gehen.
Natürlich sind viele Programme unbekannter Herkunft. Oder weißt Du stets, von wem das ein oder andere Programm auf Deinem System wirklich herkommt ? Also solltest Du Dir immer wieder in gewissen Abständen einfach mal die Zeit nehmen, Dein System gemäß meinen Beschreibungen unter der Rubrik "Identifizierung" unter die Lupe zu nehmen. Klingt nach viel Arbeit, wenn man die Schritte ein erstes Mal durchgeht. - Machst Du dieses jedoch öfters, hast Du Routine und alles geht sehr schnell.
Auch besteht die Möglichkeit, Dateien mit einem Schreibschutz zu versehen, wie z.B. die Win.ini, System.ini usw. - Jedoch werden dann häufig Probleme bei Neuinstallationen von Programmen auftreten. - Du mußt jedes Mal zuvor den Schreibschutz wieder entferne. Es ist liegt in Deinem Ermessen, ob man diese Möglichkeiten nutzen sollte.
Zum Glück gibt es endlich auch einige sehr guten Virenscanner, die sehr viele Trojanische Pferde identifizieren und auch entfernen. - Bis vor gar nicht so langer Zeit erkannten diese Scanner zwar viele tausend Viren, jedoch kaum Trojanische Pferde.
Portliste:
Wichtige Anmerkung:
Die genannten Trojaner, die von den jeweiligen Ports genutzt werden, beziehen sich in der Regel lediglich auf die Standardeinstellungen des Trojanischen Pferdes. Denn viele Trojaner können dahingehend editiert werden, dass ein anderer Port genutzt wird.
Port / System-Ports Programm / Name:
0 ICMP Click attack
9 UDP discard
15 netstat
19 chargen
21 TCP ftp
22 SSH
23 TCP telnetd
25 TCP smtp
37 Time
39 rlp
53 TCP Domain
67 bootp
69 TFTP
79 fingerk
80/8080 http
80/8080/5580 military http
87 link
110 pop3
111 SUN RPC
113 identd
119 nntp
129 TCP PGP (nuke) Password Generator Protocol
137 TCP Netbios name (nuke)
138 TCP Netbios datagram (nuke)
139 TCP Netbios session (nuke)
144 newsk
161 SNMP
445 Microsoft-DS
512 execk
513 login
515 pkill
517 ktalk
518 ntalk
533 netwall
560 rmontior
561 montior
750 kerberos
Welche Programme (fast nur Trojaner) bestimmte Ports nutzen:
| Name des Trojaners | Port Nummer | Protokoll |
| Acid Battery 1.0 | 32418 | |
| Acid Shivers | 10520 | TCP |
| Agent 31 | 31 | TCP |
| Agent 40421 | 40421 | TCP |
| AimSpy | 777 | |
| Ajan | 25 | |
| Ambush | 10666 | |
| Antigen | 25 | |
| AOL Trojan 1.1 | 30029 | TCP |
| Attack FTP | 666 | TCP |
| Back Construction | 21 | |
| Back Construction | 666 | |
| Back Construction | 5401 | |
| Back Construction | 5402 | |
| Back Construction 1.2+1.5 | 5400 | |
| Back Door Setup | 5000 | |
| Back Door Setup | 5001 | |
| Back Door Setup | 7789 | |
| Back Orifice | 31337 | |
| Back Orifice | 31338 | UDP |
| Back Orifice | 54320 | UDP |
| Back Orifice | 54321 | TCP |
| Back Orifice (BO) DLL | 1349 | UDP |
| Back Orifice 2000 | 8787 | |
| Back Orifice 2000 | 54320 | TCP |
| Back Orifice 2000 | 54321 | UDP |
| BackDoor | 1999 | TCP |
| BackDoor-G | 1243 | |
| BackDoor-G | 6776 | |
| BackFire | 31337 | UDP |
| Backorifice (BO) | 31337 | UDP |
| Baron Night | 31337 | TCP |
| BigGluck | 34324 | TCP |
| Bla | 1042 | TCP |
| Bla | 20331 | |
| Bla 1.1 | 1024 | |
| Blade Runner | 21 | |
| Blade Runner | 5400 | TCP |
| Blade Runner | 5401 | TCP |
| Blade Runner | 5402 | TCP |
| BO client | 31337 | |
| BO Facil | 5556 | TCP |
| BO Facil | 5557 | TCP |
| Bo Facil | 31337 | |
| BO JammerKillah | 121 | TCP |
| Bo Whack | 31336 | TCP |
| BO2 | 31337 | |
| BoBo | 4321 | |
| BOWhack | 31666 | TCP |
| BrainSpy | 10101 | |
| Bubbel | 5000 | |
| Bugs | 2115 | TCP |
| Cain & Abel | 666 | |
| Chupacabra | 20203 | |
| Click attack | 0 | ICMP |
| Coma | 10607 | TCP |
| Cyber Attacker | 9876 | TCP |
| Danny | 4567 | |
| Danny | 6912 | |
| Danny | 10607 | |
| Dark Shadow | 911 | TCP |
| Deep Throat | 2140 | TCP/UDP |
| Deep Throat 1.0 | 3150 | TCP/UDP |
| Deep Throat 2.0 & 3.0 | 60000 | TCP |
| DeepBO | 31337 | |
| DeepBO | 31338 | UDP |
| DeepThroat | 41 | TCP |
| DeepThroat | 999 | TCP |
| DeepThroat 2.0 & 3.0 | 667 | 0 TCP |
| DeepThroat 2.0 & 3.0 | 677 | 1 TCP |
| Delta Source | 26274 | TCP/UDP |
| Delta Source | 47252 | TCP |
| Delta Source | 47262 | UDP |
| DeltaSource (DarkStar) | 6883 | |
| Der Spaeher 3 | 1000 | |
| Devil 1.03 | 65000 | TCP |
| Digital RootBeer | 2600 | |
| DMSetup | 58 | TCP |
| DMSetup | 59 | |
| Doly Trojan | 1012 | TCP |
| Doly Trojan 1.1 | 21 | |
| Doly Trojan 1.1+1.2 | 1011 | TCP |
| Doly Trojan 1.30 | 1010 | |
| Doly Trojan 1.35 | 1010 | |
| Doly Trojan 1.5 | 1015 | TCP |
| Doly Trojan 1.5 | 1015 | TCP |
| Doly Trojan 1.6 | 1016 | |
| Donald Dick | 23476 | TCP |
| Donald Dick | 23477 | TCP |
| Eclipse 2000 | 3459 | TCP |
| Eclipse 2000 | 12701 | |
| Eclypse | 3801 | UDP |
| Email Password Sender | 25 | |
| Evil FTP | 23456 | TCP |
| Executor | 80 | TCP |
| File Nail | 4567 | TCP |
| Firehotcker | 79 | TCP |
| Firehotcker | 5321 | TCP |
| Fore | 21 | |
| Fore | 50766 | TCP |
| FTP trojan | 21 | |
| FTP99CMP | 1492 | TCP |
| GabanBus | 12345 | |
| GabanBus | 12346 | |
| GateCrasher | 6969 | TCP |
| GateCrasher | 6970 | TCP |
| GirlFriend | 21554 | TCP |
| GJamer | 12076 | TCP |
| Hack City Ripper Pro | 2023 | |
| Hack Office Armageddon | 8879 | |
| Hack'99 | 12223 | TCP |
| Hack'a'Tack | 31785 | TCP |
| Hack'a'Tack | 31787 | UDP |
| Hack'a'Tack | 31788 | UDP |
| Hack'a'Tack | 31789 | UDP |
| Hack'a'Tack | 31790 | UDP |
| Hack'a'Tack | 31791 | UDP |
| Hack'a'Tack | 31792 | |
| Hackers Paradise | 31 | TCP |
| Hackers Paradise | 456 | TCP |
| Haebu Coceda (= Naebi) | 25 | |
| Happy 99 | 25 | |
| Happy 99 | 119 | TCP |
| Hidden Port V2.0 | 99 | |
| HVL Rat5 | 2283 | TCP |
| ICKiller | 7789 | TCP |
| ICQTrojan | 4590 | TCP |
| IcqTrojan | 4950 | |
| Illusion Mailer | 2155 | TCP |
| Illusion Mailer | 5512 | |
| Illusion Mailer | 5521 | |
| InCommand | 9400 | |
| Indoctrination | 6939 | TCP |
| Ini-Killer | 555 | |
| iNi-Killer | 9989 | TCP |
| Invisible FTP | 21 | |
| IRC 3 | 6969 | |
| Kazimas | 113 | TCP |
| Kazimas | 7000 | |
| KeyLogger | 12223 | TCP |
| Kuang 2 | 30999 | TCP |
| Kuang2 | 25 | |
| Kuang2 The Virus | 13700 | |
| Kuang2 The Virus | 17300 | TCP |
| Larva | 21 | |
| Logged! | 20203 | |
| Masters Paradise | 31 | |
| Masters Paradise | 3129 | TCP |
| Masters Paradise | 40421 | TCP |
| Masters Paradise | 40422 | TCP |
| Masters Paradise | 40423 | TCP |
| Masters Paradise | 40425 | TCP |
| Masters Paradise | 40426 | TCP |
| Mavericks Matrix | 1269 | TCP |
| Millennium | 20000 | TCP |
| Millennium | 20001 | TCP |
| NeTAdmin | 555 | |
| Netbios name (DoS attacks) | 137 | TCP/UDP |
| Netbios session (DoS attacks) | 139 | TCP/UDP |
| NetBus | 12345 | TCP |
| NetBus | 12456 | TCP |
| NetBus 1.x avoiding Netbuster | 12346 | TCP |
| NetBus 2 Pro | 20034 | TCP |
| NetMetropolitan 1.0 & 1.04 | 503 | 1 |
| NetMetropolitan 1.04 | 5032 | |
| NetMonitor | 7300 | TCP |
| NetMonitor | 7301 | TCP |
| NetMonitor | 7306 | TCP |
| NetMonitor | 7307 | TCP |
| NetMonitor | 7308 | TCP |
| Netpatch | 31337 | TCP |
| Netscape/Corba exploit | 2086 | TCP |
| NetSphere | 30100 | TCP |
| NetSphere | 30101 | TCP |
| NetSphere | 30102 | TCP |
| Netsphere Final | 30133 | |
| NetSpy | 1024 | TCP |
| NetSpy | 1033 | |
| NetSpy DK | 31338 | TCP |
| NetSpy DK | 31339 | TCP |
| Nikhil G. | 1509 | |
| Nikhil G. | 1807 | |
| Nikhil G. | 2140 | |
| Nikhil G. | 2801 | |
| One of the Last Trojans | 5011 | |
| Online Keylogger | 49301 | |
| Pass Ripper | 2023 | TCP |
| Password Generator Protocol | 129 | TCP |
| Peur de Rien FTP | 666 | |
| Phase Zero | 555 | TCP |
| Phineas Phucker | 2801 | TCP |
| Pie Bill Gates | 12345 | |
| Ping Attack | 8 | ICMP |
| Portal of Doom | 3700 | TCP |
| Portal of Doom | 9872 | TCP |
| Portal of Doom | 9873 | TCP |
| Portal of Doom | 9874 | TCP |
| Portal of Doom | 9875 | TCP |
| Portal of Doom | 10067 | TCP/UDP |
| Portal of Doom | 10167 | TCP |
| Portal of Doom | 10167 | UDP |
| Priority | 6969 | TCP |
| Priority | 16969 | TCP |
| ProgenicTrojan | 11223 | TCP |
| ProMail Trojan | 25 | |
| ProMail Trojan | 110 | TCP |
| Prosiak | 33333 | TCP |
| Prosiak 0.47 | 22222 | TCP |
| Psyber Streaming Server | 1024 | |
| Psyber Streaming Server | 1170 | |
| Psyber Streaming Server | 1509 | TCP |
| Psyber Streaming Server | 4000 | |
| Rasmin | 531 | TCP |
| Rasmin | 1045 | TCP |
| RAT | 2989 | UDP |
| Remote Explorer | 2000 | TCP |
| Remote Grab | 7000 | TCP |
| Remote Windows Shutdown | 53001 | TCP |
| RingZero | 80 | |
| RingZero | 3028 | TCP |
| RingZero | 3128 | |
| RingZero | 8080 | TCP |
| Robo-Hack | 5569 | TCP |
| Satanz Backdoor | 666 | |
| School Bus 1.6 & 2.0 5 | 4321 | TCP |
| Schoolbus 1.0 | 4321 | |
| Schoolbus 1.6 & 2.0 | 43210 | |
| Schwindler | 50766 | |
| Schwindler 1.82 | 21544 | |
| Senna Spy | 11000 | TCP |
| Senna Spy | 13000 | TCP |
| ServeMe | 5555 | TCP |
| ServeU | 666 | |
| Shadow Phyre | 666 | |
| Shit Heep | 6912 | TCP |
| Shiva-Burka | 1600 | TCP |
| ShockRave | 1981 | TCP |
| Shtrilitz | 25 | |
| Silencer | 1001 | TCP |
| Socket 25 | 30303 | |
| Socket23 | 5000 | |
| Sockets de Troie | 30303 | TCP |
| Sockets de Troie v1 | 5000 | TCP |
| Sockets de Troie v1 | 5001 | TCP |
| Sockets de Troie v2 | 50505 | TCP |
| SoftWar | 1207 | |
| SpySender | 1807 | TCP |
| Stealth | 25 | |
| Stealth Spy | 555 | TCP |
| Streaming Audio Trojan | 1170 | TCP |
| Striker | 2565 | TCP |
| SubSeven | 1243 | TCP |
| SubSeven | 6711 | TCP |
| SubSeven | 6712 | TCP |
| SubSeven | 6713 | TCP |
| SubSeven | 6776 | TCP |
| SubSeven 2.1 | 27374 | |
| SubSeven 2.1 | 27573 | UDP |
| SubSeven 2.1 | 27573 | TCP |
| SubSeven Apocalypse | 1243 | |
| Tapiras | 25 | |
| TCP Wrappers | 421 | TCP |
| Telecommando | 61466 | TCP |
| Terminator | 25 | |
| The Invasor | 2140 | |
| The Invasor | 3150 | |
| The Spy | 40412 | TCP |
| The tHing | 6400 | TCP |
| The tHing 1.6 | 6000 | |
| The Unexplained | 29891 | TCP/UDP |
| Tiny Telnet Server | 34324 | |
| Tiny Telnet Server (= TTS) | 23 | |
| TN | 34324 | TCP |
| Total Eclypse 1.0 (FTP) | 3791 | TCP |
| TransScout | 1999 | |
| TransScout | 2000 | |
| TransScout | 2001 | |
| TransScout | 2002 | TCP |
| TransScout | 2003 | TCP |
| TransScout | 2004 | TCP |
| TransScout | 2005 | TCP |
| TransScout | 9878 | TCP |
| Trin00 DoS Attack | 27665 | TCP |
| Trin00 DoS Attack | 31335 | UDP |
| Trojan Cow | 2001 | TCP |
| Trojan Spirit 2001a | 30133 | |
| Trojan Spirit 2001a | 33911 | TCP |
| Ugly FTP | 23456 | TCP |
| Ultors Trojan | 1243 | |
| Ultor's Trojan | 12345 | TCP |
| Unknown Trojan | 33390 | UDP |
| Vampyre 1.0 | 6669 | TCP |
| Voice | 1170 | TCP |
| VooDoo Doll | 1245 | TCP |
| WebEx | 21 | |
| WebEx | 1001 | TCP |
| Whack Job | 23456 | |
| Whack-a-mole | 12361 | TCP |
| Whack-a-mole | 12362 | TCP |
| WhackJob | 12631 | TCP |
| WinCrash | 21 | |
| WinCrash | 3024 | TCP |
| WinCrash | 4092 | TCP |
| WinCrash | 5714 | |
| WinCrash | 5741 | |
| WinCrash | 5742 | TCP |
| WinCrash 2 | 2583 | TCP |
| WinPC | 25 | |
| WinSatan | 999 | |
| WinSpy | 25 | |
| X-bill | 12345 | |
| X-bill | 12346 | |
| Xtcp | 5512 | TCP |
| Xtcp | 5550 | TCP |
| Xtreme | 1090 | TCP |
