|
Sie sind Hier:
Startseite
Service
Viren und
Sicherheit
Trojaner
Trojanisches Pferd - Was ist
das ?
Trojanische Pferde sind Programme,
die eine schädliche Funktion beinhalten. Nicht selten verfügen Trojanische
Pferde über ein für Anwender sehr nützliche Funktion. Die schädliche
Funktion läuft lediglich im Hintergrund ab, ohne das dieses bemerkt
wird.
Trojanische Pferde arbeiten nach verschiedenen Mustern.
Zu einem gibt es Programme (Exe-Dateien), die keinerlei für den
Anwender nützliche Funktionen aufweisen. Lediglich wird nach einem
Start des vermeintlichen Programms ein Trojaner auf dem PC installiert.
Damit kein Verdacht geschöpft wird, erscheinen Fehlermeldungen,
dass eine bestimmte Datei nicht vorhanden ist, um das vorgegebene
Programm zu starten.
Der Anwender löscht enttäuscht dieses unbrauchbare
Programm und macht sich weiter keine Gedanken darüber.
Des Weiteren
gibt es auch wesentlich "klügere" Trojanische Pferde, die sich hinter
einem durchaus brauchbaren Programm verbergen. Wird das Programm
installiert, kann es oft Monate dauern, bis ein Anwender bemerkt,
dass sich ein schädliches Programm auf seinem System befindet.
Viele Trojaner installieren sich so auf dem System, damit dieses
bei jedem Systemstart ebenfalls mitgestartet wird. - Somit läuft
dieses Programm ständig im Hintergrund mit.
Andere Trojanische
Pferde starten erst, wenn ein bestimmter Vorgang (Start eines anderen
Programms) auf dem System stattfindet.
Wozu sind Trojanische
Pferde in Lage, was können diese ?
Die meisten Trojaner sind
darauf aus, Benutzerdaten eines Online-Dienstes auszuspähen, nicht
selten nur von einem bestimmten Provider. Trojaner, die ständig
im Hintergrund im betroffenen System mitlaufen, zeichnen mitunter
sämtliche Tastaturfolgen auf. - Dieses bedeutet, alle Daten, die
der Anwender über die Tastatur eingibt. - Hier nutzt es leider gar
nichts, wenn der Anwender sein Passwort für einen Online-Dienst
nicht abspeichert, sondern erst bei der Anmeldung eingibt. Die gesammelten
Daten werden nach der Einwahl unbemerkt an den Autor des Trojanischen
Pferdes geschickt.
Da die gesammelten Daten nach der soeben genannten
Arbeitsweise, häufig viel zu groß und undurchsichtig für den Autor
des Trojaners sind, arbeiten viele Trojanische Pferde weitaus intelligenter.
Die "besseren" Trojaner, zeichnen lediglich die Tastaturfolgen auf,
die den "Hacker" interessieren. Dazu könnten Eingaben von Passwörtern
für Online-Dienste/ Mail-Accounts/Webseiten/FTP/ Kreditkarten-Nr.,
Konten usw. gehören. - In einigen Fällen werden sogar Home-Banking-Programme
überwacht und die Daten weitergeschickt. Für den Hacker hat es den
Vorteil, er gelangt nur an die für ihn relevanten Daten und muss
diese somit nicht aus einem riesigen "Datenberg" rausfiltern. Diese
Arbeitsweise von Trojaner ist als sehr gefährlich einzustufen, da
diese die Eigenschaften besitzen können, an sämtliche Daten eines
Anwenders zu gelangen.
Des Weiteren gibt es auch ein Vielzahl
von Trojanischen Pferden, die nicht ständig im Hintergrund eines
Systeme mitlaufen: Diese Art von Trojanischen Pferden werden erst
aktiviert, wenn der Anwender z.B. sein Programm für die Einwahl
in einem Online-Dienst startet. Oder er ein so genanntes Online-Tool
verwendet, wenn er sich bereits online befindet.
Der Trojaner
wurde so programmiert, dass er sich die Dateien auf einem System
sucht, wo ein Programm (z.B. Onlinesoftware, FTP-Mail - Programme)
die Passwörter des Nutzers abspeichert: Viele Anwender nutzen auch
heute leider noch die Funktion des Abspeichern von Passwörtern,
damit diese nicht immer wieder neu eingeben werden müssen. - Keine
Frage, dieses ist sehr praktisch, jedoch stellen diese Funktionen
ein erhöhtes Sicherheitsrisiko da.
Daher rate ich dringend, keine
Passwörter für Online-Dienste und was auch immer noch auf Deinem
System abzuspeichern. - Der Schaden kann später weitaus höher als
der Nutzen sein, ein Passwort zu speichern. - Trojaner, die nach
diesem Muster arbeiten werden somit keinen Erfolg verbuchen können.
Passwörter werden zwar in der Regel verschlüsselt gespeichert, jedoch
kannst Du davon ausgehen, der Hacker wird in der Lage sein, diese
zu entschlüsseln.
Die dritte Art von Trojanischen Pferden
nennt man auch Server - Programme. - Diese Trojaner ermöglichen
dem Hacker auf das betroffene System zuzugreifen. Diese Trojaner
sind mit Abstand die gefährlichsten, die es zur Zeit gibt. Da diese
Trojaner in Regel alle auf dieser Seite genannten Arbeitsweisen
vereinen können.
Server-Programme sind zu folgendem in der Lage
bzw. ermöglichen dem Hacker auf der "Gegenseite" zahlreichen Funktionen:
Aufzeichnen der Tastaturfolgen, Auslesen von Passwörtern, herunter-
und/oder hochladen von Dateien von/auf Dein System. Der Hacker hat
mitunter vollen Zugriff auf Deinen Rechner und kann fast alles machen,
was er gerade möchte. Server-Programme bestehen aus einem Clienten
(dieser wird benutzt um auf andere System zugreifen zu können) und
dem eigentlichen Trojaner, dem Server. Das Server-Programm öffnet
auf Deinem System verschiedene so genannter Ports, damit der Zugriff
auf Dein System durch den Hacker möglich wird. Der Client ist dazu
in der Lage nach aktiven "Servern" irgendwo im Internet zu scannen
(suchen). Somit wir dem Hacker bekannt auf welche Systeme er zugreifen
könnte.
Du siehst, die Arbeitsweisen und Möglichkeiten eines
Trojanischen Pferdes sind sehr breit gefächert. Auf alles bis in
das letzte Detail einzugehen, würde den Rahmen dieser Seiten sprengen.
Erkennung Trojanischer Pferde:
Oft erweist es sich für den weniger
versierten Anwender als recht schwierig eine Trojaner-Infektion
festzustellen. Daher habe ich die Erklärungen in verschiedene Bereiche
bzw. "Erkennungsmethoden" aufgegliedert.
Methode "Viren-
oder Trojanerscanner":
Zunächst sollte der Anwender sich
einen Virenscanner kaufen oder aus dem Internet herunterladen. Sehr
viele Hersteller bieten eine in den Funktionen uneingeschränkte
Testversion zum ausprobieren an.
Nachdem die Software installiert
wurde, sollte unbedingt ein Update per Internet durchgeführt werden.
Schließlich werden täglich neue Trojanische Pferde durch die Autoren
herausgegeben. Bevor der Anwender nun zum ersten mal sein System
nach Viren und Trojanern suchen lässt, sind noch ein paar wichtige
Einstellungen an der Antivirensoftware zu tätigen (soweit noch nicht
durch den Hersteller der Software geschehen). Das Programm ist dahingehend
zu konfigurieren, indem beim Scan ALLE Dateien untersucht werden.
Meißt ist diese Funktion nicht durch den Hersteller voreingestellt.
Außerdem sollte das Programm in keinem Fall bei einer festgestellten
Infektion sofort eine Säuberung oder Entfernung der infizierten
Dateien vornehmen. Das ist sehr wichtig, da einige Trojaner den
Virenscannern erhebliche Probleme bei der Entfernung bereiten bzw.
diese sehr fehlerhaft entfernt werden. Das kann schnell zur Folge
haben, dass ein System nicht mehr nutzbar und/oder unter Umständen
kaum noch reparabel ist. Zum Beispiel der Trojaner SubSeven in neueren
Version bereitet hier sehr oft erhebliche Probleme.
Wenn der Virenscanner eine Infektion
feststellt, sollte sofort ein Fachmann (z.B. Support der jeweiligen
Softwarefirma) zu Rate gezogen werden
Sollte die Antiviren Software keine
Infektionen feststellen, so heißt das jedoch noch lange nicht, dass
ein System auch wirklich Trojanerfrei ist. Wie man weiter vorgeht,
wird in den nächsten Kapiteln erläutert.
Methode "Autorun
- Einträge überprüfen":
In der Regel macht ein Trojaner nur
dann "Sinn", wenn er sich auf dem System dahingehend installiert,
indem dieser bei jedem Systemstart ausgeführt wird. Das bedeutet:
Der Trojaner läuft ständig im Hintergrund des Systems mit und "wartet"
nur darauf bis der User eine Onlineverbindung aufbaut.
Hier erläutere
ich die wichtigsten Möglichkeiten, wo der Trojaner eine Veränderung
bzw. Eintragung vornimmt, damit dieser stets ausgeführt wird.
Autostart-Ordner:
Diese Möglichkeit wird von Trojanern sehr selten genutzt. Grund:
Die Entdeckungsgefahr ist zu hoch. Den Autostart-Ordner findest
du z.B. wie folgt: Windows-Start - Suchen - http://www.compu-seite.de/Ordner
- Autostart eingeben - Der Ordner wird angezeigt - Doppelklicken
- Jetzt siehst du alle Einträge.
Win.ini:
Eine vor allem
früher sehr häufig anzutreffende Methode ist die Eintragung in die
Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht ! Manche
Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung
ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort
erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach
rechts (falls denn ein solcher Balken vorhanden sein sollte). Den
besten Zugriff auf die Win.ini hast du, indem du auf Windows-Start
gehst - Ausführen - sysedit.exe eingeben - OK klicken.
Nun werden
verschiedene Fenster geöffnet, auch die Win.ini. Die sysedit.exe
wirst du noch öfters brauchen, wenn du die Beschreibungen weiter
aufmerksam liest.
System.ini:
Eine
Eintragung erfolgt unter dem Paramter "shell=". Vorsicht ! Hier
ist schon eine Eintragung Namens Explorer.exe enthalten. - Die nicht
löschen !!! Es könnten jedoch hinter Explorer.exe noch weitere Eintragungen
erfolgen. Die System.ini findest du auf dem gleichen Weg, wie unter
Win.ini beschrieben. Hier erfolgen jedoch eher seltener entsprechende
Eintragungen.
autoexec.bat:
Hier
solltest du ebenfalls mit dem Löschen von Eintragungen vorsichtig
sein. Denn auch hier tragen sich einige harmlose Programme ein.
Trojaner nutzen diese Möglichkeit jedoch so gut wie gar nicht. Da
jedoch diese Möglichkeit ebenfalls gegeben ist, erwähne ich diese
auch. Die Autoexe kannst du auch in der Sysedit.exe (Beschreibung
unter Win.ini) einsehen und bearbeiten.
Config.sys:
Einige,
wenige Trojaner tarnen sich auch als Gerätetreiber auf Windows 95/98
Systemen. Diese Trojaner lassen sich jedoch schwer realisieren und
sind daher zum Glück noch recht selten. Die Config.sys ist ebenfalls
mittels der Sysedit.exe auffindbar. Es sollte Ausschau nach Eintragungen
unter: Device=, Install=, Devicehigh=, Installhigh= und Shell= gehalten
werden. Auch hier gilt natürlich, ein Eintrag muss nicht unbedingt
ein Trojaner bedeuten. Also nicht wahllos löschen oder Änderungen
vornehmen.
Winboot.ini:
Im Normalfall
ist diese Datei nicht vorhanden, ersetzt jedoch im Fall der Fälle
die Msdos.sys. Nur unter Windows 95/98.
Winstart.bat:
Wenn
hier eine Eintragung erkennbar ist, bedeutet dieses in der Regel
folgendes: Eine Befehlzeile veranlasst das Kopieren einer Datei,
welche vor dem letzten Systemstart gelöscht wurde. Bisher sind kaum
Trojaner bekannt, die diesen Weg nutzen. Ein Beispiel hierfür wäre
jedoch "DerSpäher 2".
Wininit.ini:
Nicht
zu verwechseln mit der Win.ini ! Die Wininit.ini muss sich im übrigen
auch nicht auf jedem System befinden. Jedoch kann hier einmalig
zwecks Autorun (also Ausführung einer Datei bzw. eines Trojaners)
ein Eintrag erfolgen, welcher danach sogar gelöscht wird. Im übrigen
heisst die Wininit.ini im ausgeführten (geladenen) Windows-System
Winit.bak Die Wininit.ini nutzen auch mitunter Virenscanner zur
Entfernung von Trojanern oder auch manchen Viren.
progman.ini:
Das
ist quasi noch die "alte" win.ini von Windows 3.x, welche sogar
ebenfalls noch bei Start verarbeitet wird.
Win.bat:
In Normalfall
entweder gar nicht vorhanden oder leer.
Cmdinit.bat:
Diese
Autostartmethode ist nur unter Windows ME möglich.
Dosstart.bat:
Ebenfalls
Programmaufrufe möglich, nur unter Windows 95/98
control.ini:
Auch
hier ist theoretisch möglich, einen Eintrag zwecks Autorun zu tätigen.
Bisher ist mir jedoch noch kein Fall bekannt, wo sich eine Trojaner
hier eingetragen hat. Die Möglichkeiten wären jedoch sicherlich
machbar.
Msdos.sys:
Systempfade
können verbogen werden, daher auch Autostarts möglich.
Autoexec.net und Config.nt:
Nur unter den Systemen Windows 2000 und XP auffindbar.
Windows-Registrierung:
Zuerst rufst du die Registrierung
deines Systems auf. - Diese kannst du u.a. in folgenden Schritten
tun: Windows-Start - Ausführen - regedit eingeben - OK klicken.
- Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet
sich. Jedoch keine Angst, uns interessieren lediglich einige, wenige
Pfade:
Kann Pfad zu einer
POL-Datei enthalten, die mit Poledit bearbeitet wird und wiederum
einen Autostart enthält. Der Eintrag im zweiten, genannten Pfad
muss auf "0" stehen, wenn dieser Weg nicht genutzt wird.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update\NetworkPath\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update\UpdateMode\
Ruft eigentlich
folgenden Paramater auf, kann aber auch missbraucht werden: %windir%\system32\userinit.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit\
Andere Autostarteinträge:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Load\
HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts\
HKEY_CLASSES_ROOT\exefile\shell\open\command\
@="%1"
%*"
HKEY_CLASSES_ROOT\comfile\shell\open\command\
@="\"%1\" %*"
HKEY_CLASSES_ROOT\batfile\shell\open\command\ @="\"%1\"
%*"
HKEY_CLASSES_ROOT\htafile\Shell\Open\Command\ @="\"%1\" %*"
HKEY_CLASSES_ROOT\piffile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\
@="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\
@="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\
@="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command\
@="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\
@="\"%1\" %*"
Vor der Zeichenkette "%1" %* könnte
noch ein Programm eingetragen worden sein. Standartmaessig ist jedoch
nur die hier genannte Eintragung gegeben. Sollte hier somit noch
eine ausführbare Datei (exe, com etc.) enthalten sein, so könnte
sich ein Trojanisches Pferd dahinter verbergen. Bei Trojanerverdacht
in keinem Fall den gesamten Eintrag entfernen, sondern nur das Programm
!
Eine weitere Möglichkeit bei
ICQ-Usern besteht darin:
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test\
"Path"="test.exe" "Startup"="c:\\test" "Parameters"="" "Enable"="Yes"
Browser Helper
Objekts:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\
Auch der eigentliche
Autostartordner kann mittels der Registry anders festgelegt werden.
Auch hier lohnt sich ein Blick, wenn sonst nichts zu finden ist.
Das bedeutet so viel, man könnte einen ganz anderen Autostart-Ordner
über diesen Registry-Pfad festlegen und ungewünschte Dateien starten
lassen:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Startup\
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Startup\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\
CommonStartup\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\
ComonStartup\
Registry Installed Components:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
Components\
Der Default-Wert lautet: "Trojaner"\StubPath - C:\WINDOWS\SYSTEM\"trojaner".exe
Registry Common Startup Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\User
shell folders.
Der Eintrag heisst: C:\WINDOWS\SYSTEM\dv\ (wobei
"dv" auch abweichen könnte). Unter diesem Pfad befindet sich auch
der Server, sowie unter den gegebenen Umständen in einem weiteren
Verzeichnis.
Tarnung als Gerätetreiber:
Ein Trojanisches Pferd kann sich auch als Gerätetreiber tarnen,
welches jedoch noch verhältnismäßig selten der Fall ist. Auch erweist
sich die genaue Identifizierung als nicht gerade einfach. Schliesslich
kann sich dahinter auch ein harmloser Gerätetreiber verbergen, der
bei Löschung mehr Schaden als Nutzen hervorbringen kann. Auch hier
erfolgt eine Eintragung in der Registrierung jedoch unter einem
"ungewohntem" Pfad:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\INTLD
Zur Identifizierung sollte jedoch
zumindest ein Process Viewer zur Hilfe genommen werden, der unter
Umständen eine der im o.g. Pfad Eintragungen als laufenden Process
anzeigt. Aber auch Windows liefert von Haus aus ein sehr brauchbares
Programm "Dr. Watson" mit. Im Zweifelsfall in jedem Fall einen Fachmann
zu Rate ziehen (welches natürlich in allen beschriebenen Fällen
dieser Rubrik gilt).
Das Trojanische Pferd "Donald Dick" macht
sich diese Autorun-Methode zu nutzen.
Die in der Registrierung genannten
Pfade werden als Ordner dargestellt und erreicht man mit jeweiligen
Doppelklicks auf den Icons. Auch hier ist wieder Vorsicht geboten,
welche Einträge gelöscht werden. Die Möglichkeit zwecks Start beim
Systemstart wird von sehr vielen harmlosen Programmen (z.B. Deinstaller,
Virenscannern, BackUp-Tools etc.), jedoch auch Trojanischen Pferden
genutzt. Es gibt noch zahlreiche andere Eintragungsmöglichkeiten
zwecks Autorun in der Registrierung. Diese werden jedoch (zum Glück)
nur selten von Trojanischen Pferden genutzt.
Hilfreich ist auch das Windowseigene
Programm "msconfig". Gehe also einfach auf den Start-Button (unten
links Desktop), dann auf "Ausführen" und gibt msconfig ein. Über
dieses Programm kannst du viele der oben genannten Einträge überprüfen
und bequem ändern.
Auch über "sysedit" findest du viele
der o.g. Eintragungsmöglichkeiten. Gehe vor wie unter "msconfig",
gib stattdessen jedoch sysedit ein. Es werden sich mehrere Fenster
in Editorform öffnen.
Der Trojaner "Sockets de Troie"
kann nicht über die genannten Wege identifiziert und entfernt werden.
- Dazu rate ich das Anti-Viren-Programm Kaspersky Anti-Virus (http://www.datsec.de)
gegebenfalls als Testversion herunterzuladen und das System danach
zu scannen. Kaspersky Anti-Virus kann diesen Trojaner entfernen.
Methode über "Explorer.exe" auf Laufwerk C:\
Aufgrund
eines Bugs in Windows, wird immer zunächst die "erste explorer.exe"
ausgeführt (also in Verzeichnis C:\), bevor die eigentliche explorer.exe
(in c:\windows\) gestartet wird. Die explorer.exe in c:\ bewirkt,
dass ein Trojaner zunächst geladen wird, der sich im Verzeichnis
c:\windows\system oder anderswo befindet.
Ersetzen der Datei runonce.exe:
Bisher mir selber nur bei dem Trojaner Schoolbus bekannt. Die
Original Windows runonce.exe wird durch ein modifizierte Datei ersetzt,
die somit eine Autorun-Methode ermöglicht. Die Original "runonce.exe"
ist unter Win95 11.264 Bytes und Win 98/ME 40.960 Bytes gross. Sollte
also eine runonce.exe gefunden werden, die eine andere Grösse aufweist,
so könnte sich auch hier ein Trojanisches Pferd verbergen.
Ich betone KÖNNTE !
Start über aktive Inhalte des
Explorers:
Active Desktop
C:\Winnt\Web\*.htt
C:\Windows\Web\*.htt
C:\Dokumente und Einstellungen \<Name des
Benutzers>\Desktop als Webansicht
C:\Windows\Profiles\<Name des
Benutzers>\Desktop als Webansicht
C:\Window\Desktop als Webansicht
Methode "Laufende
Prozesse überprüfen":
Häufig kommt man einem Trojaner
schon auf die Schliche, indem man die so genannten laufenden Prozesse
überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare
Dateien, die gerade im System "mitlaufen". Überprüfen kann man dieses
über verschiedene Wege:
Betätige die Tasten: AltGr + Strg
+ Entf. Nun erscheint eine Box, welche laufende Prozesse anzeigt,
die man auch entsprechend beenden kann. Allerdings ist diese Methode
überhaupt nicht sicher, da die meißten Trojanischen Pferde es verstehen,
sich vor diesem "Taskmanager" zu verstecken.
Windows liefert von Haus aus ein
gutes Werkzeug zur Überprüfung aller laufenden Prozesse mit. Das
Programm heisst "DrWatson". Dazu gehe auf das Windows-Startlogo
(unten links im Desktop), dann auf "Ausführen" und gib drwatson
ein. Nun wird das Programm aufgerufen und führt zunächst ein paar
Analysen durch. Gehe auf den Menüpunkt "Ansicht" und wähle die Option
"Erweiterte Ansicht". Für Anfänger erweist sich Dr Watson jedoch
als recht schwierig, da es wirklich gnadenlos alles anzeigt, was
dein Windows so hergibt. Für Experten in jedem Fall eine sehr wertvolle
Hilfe.
Wer es jedoch einfacher haben möchte,
der kann sich aus dem Internet einen so genannten "Process Viewer"
herunterladen.
Methode "Überprüfung
der Ports mittels Netstat":
Da wie weiter oben beschrieben, die
meissten Trojaner im Hintergrund auf eine Onlineverbindung "warten",
belegen diese einen Port. Die Ports kann man mittels des Programmes
"netstat" überprüfen. Das Programm befindet sich von Haus aus auf
einem Windows-System.
Rufe die DOS-Eingabeaufforderung
auf und gib folgenden Befehl ein: netstat -a
Jedoch solltest du dieses
nur offline durchführen indem keine Internetverbindung besteht.
Noch besser ist es sogar, wenn du zuvor dein System nochmals neu
startest, soltest du schon eine Onlineverbindung während dieser
Windows-Sitzung gehabt haben.
Hier ein Beispiel, welche Meldung
Netstat ausgeben könnte:
Active Connections
Proto
Local Address Foreign Address State
TCP _:27374 0.0.0.0:45178
LISTENING
UDP _:27374 *:*
Wie man hier sehen kann, wird der
Port 27374 "belegt". Anhand der Portliste könnte man daraus schließen,
dass ein System mit dem SubSeven Trojaner neuerer Version infiziert
ist. Zumindest ist es ein recht sicheres Anzeichen dafür. Jedoch
möchte ich noch erwähnen, dass man anhand des belegten Ports und
der Portliste nie zu 100 % bestimmen kann, um welchen Trojaner es
sich genau handelt. Sehr viele Trojaner bieten die Möglichkeit einen
Port selber festzulegen.
Die Überprüfung mittels einer einzigen
hier genannten Methode ist nicht unbedingt empfehlenswert. Geht
der Anwender jedoch alle hier genannten Methode nacheinander durch,
wird man dem Trojaner sicherlich auf die Schliche kommen können.
Wichtig ! - Du solltest
dir immer merken, was du auf deinem System in letzter Zeit installiert
hast. - Auch hat es sich bewährt, immer wieder die genannten Möglichkeiten
anzuschauen. - So ist ausreichend gewährleistet, dass kein wichtiges
Programm "zerstümmelt" wird.
Weniger erfahrene Anwender sollten
in jedem Fall einen Fachmann zu Rate ziehen bevor in Panik irgendwelche
Dinge entfernt werden. Falsche Hanhabungen können unter Umständen
das gesamte System außer Gefecht setzen !!!
Auch sollten die Berichte unter
der Rubrik "Reporte" beachtet und gelesen werden. Hier sind ebenfalls
viele sehr nützliche Tipps und Dokumentationen enthalten.
Schutz vor Trojanischen
Pferden:
Einen 100%igen Schutz gibt es nur,
wenn Du überhaupt keine neuen Programme auf Deinem System zulässt.
Wenn man jedoch einiges beachtet, ist die Gefahr erheblich geringer
sich ein solches "Haustier" einzufangen.
Immer wieder wird
in den Medien davor gewarnt Programme aus unbekannten Quellen auf
seinem Computer auszuführen. - Dazu gehören z.B. Programme von Internet-Seiten,
die einem nicht bekannt sind oder auch von vorneherein etwas merkwürdig
vorkommen (ich hoffe doch meine nicht....). Oder es wird einem unaufgefordert
ein Programm per E-Mail zugeschickt. - Lösche solche Mails bitte
vollständig, auch wenn vielleicht doch keine bösen Absichten vom
Versender gegeben sind. - Aber dieses weiß man nicht und sollte
somit auf Nummer sicher gehen.
Natürlich sind viele Programme
unbekannter Herkunft. Oder weißt Du stets, von wem das ein oder
andere Programm auf Deinem System wirklich herkommt ? Also solltest
Du Dir immer wieder in gewissen Abständen einfach mal die Zeit nehmen,
Dein System gemäß meinen Beschreibungen unter der Rubrik "Identifizierung"
unter die Lupe zu nehmen. Klingt nach viel Arbeit, wenn man die
Schritte ein erstes Mal durchgeht. - Machst Du dieses jedoch öfters,
hast Du Routine und alles geht sehr schnell.
Auch besteht
die Möglichkeit, Dateien mit einem Schreibschutz zu versehen, wie
z.B. die Win.ini, System.ini usw. - Jedoch werden dann häufig Probleme
bei Neuinstallationen von Programmen auftreten. - Du mußt jedes
Mal zuvor den Schreibschutz wieder entferne. Es ist liegt in Deinem
Ermessen, ob man diese Möglichkeiten nutzen sollte.
Zum Glück
gibt es endlich auch einige sehr guten Virenscanner, die sehr viele
Trojanische Pferde identifizieren und auch entfernen. - Bis vor
gar nicht so langer Zeit erkannten diese Scanner zwar viele tausend
Viren, jedoch kaum Trojanische Pferde.
Portliste:
Wichtige Anmerkung:
Die
genannten Trojaner, die von den jeweiligen Ports genutzt werden,
beziehen sich in der Regel lediglich auf die Standardeinstellungen
des Trojanischen Pferdes. Denn viele Trojaner können dahingehend
editiert werden, dass ein anderer Port genutzt wird.
Port / System-Ports Programm
/ Name:
0 ICMP Click attack
9 UDP discard
15 netstat
19 chargen
21 TCP ftp
22 SSH
23 TCP telnetd
25 TCP smtp
37 Time
39 rlp
53 TCP Domain
67 bootp
69 TFTP
79
fingerk
80/8080 http
80/8080/5580 military http
87 link
110 pop3
111 SUN RPC
113 identd
119 nntp
129 TCP PGP
(nuke) Password Generator Protocol
137 TCP Netbios name (nuke)
138 TCP Netbios datagram (nuke)
139 TCP Netbios session (nuke)
144 newsk
161 SNMP
445 Microsoft-DS
512 execk
513 login
515 pkill
517 ktalk
518 ntalk
533 netwall
560 rmontior
561 montior
750 kerberos
Welche Programme (fast nur Trojaner)
bestimmte Ports nutzen:
|
Name des
Trojaners |
Port Nummer |
Protokoll |
| Acid Battery
1.0 |
32418 |
|
| Acid Shivers |
10520 |
TCP |
| Agent 31 |
31 |
TCP |
| Agent 40421 |
40421 |
TCP |
| AimSpy |
777 |
|
| Ajan |
25 |
|
| Ambush |
10666 |
|
| Antigen |
25 |
|
| AOL Trojan
1.1 |
30029 |
TCP |
| Attack FTP |
666 |
TCP |
| Back Construction |
21 |
|
| Back Construction |
666 |
|
| Back Construction |
5401 |
|
| Back Construction |
5402 |
|
| Back Construction
1.2+1.5 |
5400 |
|
| Back Door
Setup |
5000 |
|
| Back Door
Setup |
5001 |
|
| Back Door
Setup |
7789 |
|
| Back Orifice |
31337 |
|
| Back Orifice |
31338 |
UDP |
| Back Orifice |
54320 |
UDP |
| Back Orifice |
54321 |
TCP |
| Back Orifice
(BO) DLL |
1349 |
UDP |
| Back Orifice
2000 |
8787 |
|
| Back Orifice
2000 |
54320 |
TCP |
| Back Orifice
2000 |
54321 |
UDP |
| BackDoor |
1999 |
TCP |
| BackDoor-G |
1243 |
|
| BackDoor-G |
6776 |
|
| BackFire |
31337 |
UDP |
| Backorifice
(BO) |
31337 |
UDP |
| Baron Night |
31337 |
TCP |
| BigGluck |
34324 |
TCP |
| Bla |
1042 |
TCP |
| Bla |
20331 |
|
| Bla 1.1 |
1024 |
|
| Blade Runner |
21 |
|
| Blade Runner |
5400 |
TCP |
| Blade Runner |
5401 |
TCP |
| Blade Runner |
5402 |
TCP |
| BO client |
31337 |
|
| BO Facil |
5556 |
TCP |
| BO Facil |
5557 |
TCP |
| Bo Facil |
31337 |
|
| BO JammerKillah |
121 |
TCP |
| Bo Whack |
31336 |
TCP |
| BO2 |
31337 |
|
| BoBo |
4321 |
|
| BOWhack |
31666 |
TCP |
| BrainSpy |
10101 |
|
| Bubbel |
5000 |
|
| Bugs |
2115 |
TCP |
| Cain &
Abel |
666 |
|
| Chupacabra |
20203 |
|
| Click attack |
0 |
ICMP |
| Coma |
10607 |
TCP |
| Cyber Attacker |
9876 |
TCP |
| Danny |
4567 |
|
| Danny |
6912 |
|
| Danny |
10607 |
|
| Dark Shadow |
911 |
TCP |
| Deep Throat |
2140 |
TCP/UDP |
| Deep Throat
1.0 |
3150 |
TCP/UDP |
| Deep Throat
2.0 & 3.0 |
60000 |
TCP |
| DeepBO |
31337 |
|
| DeepBO |
31338 |
UDP |
| DeepThroat |
41 |
TCP |
| DeepThroat |
999 |
TCP |
| DeepThroat
2.0 & 3.0 |
667 |
0 TCP |
| DeepThroat
2.0 & 3.0 |
677 |
1 TCP |
| Delta Source |
26274 |
TCP/UDP |
| Delta Source |
47252 |
TCP |
| Delta Source |
47262 |
UDP |
| DeltaSource
(DarkStar) |
6883 |
|
| Der Spaeher
3 |
1000 |
|
| Devil 1.03 |
65000 |
TCP |
| Digital RootBeer |
2600 |
|
| DMSetup |
58 |
TCP |
| DMSetup |
59 |
|
| Doly Trojan |
1012 |
TCP |
| Doly Trojan
1.1 |
21 |
|
| Doly Trojan
1.1+1.2 |
1011 |
TCP |
| Doly Trojan
1.30 |
1010 |
|
| Doly Trojan
1.35 |
1010 |
|
| Doly Trojan
1.5 |
1015 |
TCP |
| Doly Trojan
1.5 |
1015 |
TCP |
| Doly Trojan
1.6 |
1016 |
|
| Donald Dick |
23476 |
TCP |
| Donald Dick |
23477 |
TCP |
| Eclipse 2000 |
3459 |
TCP |
| Eclipse 2000 |
12701 |
|
| Eclypse |
3801 |
UDP |
| Email Password
Sender |
25 |
|
| Evil FTP |
23456 |
TCP |
| Executor |
80 |
TCP |
| File Nail |
4567 |
TCP |
| Firehotcker |
79 |
TCP |
| Firehotcker |
5321 |
TCP |
| Fore |
21 |
|
| Fore |
50766 |
TCP |
| FTP trojan |
21 |
|
| FTP99CMP |
1492 |
TCP |
| GabanBus |
12345 |
|
| GabanBus |
12346 |
|
| GateCrasher |
6969 |
TCP |
| GateCrasher |
6970 |
TCP |
| GirlFriend |
21554 |
TCP |
| GJamer |
12076 |
TCP |
| Hack City
Ripper Pro |
2023 |
|
| Hack Office
Armageddon |
8879 |
|
| Hack'99 |
12223 |
TCP |
| Hack'a'Tack |
31785 |
TCP |
| Hack'a'Tack |
31787 |
UDP |
| Hack'a'Tack |
31788 |
UDP |
| Hack'a'Tack |
31789 |
UDP |
| Hack'a'Tack |
31790 |
UDP |
| Hack'a'Tack |
31791 |
UDP |
| Hack'a'Tack |
31792 |
|
| Hackers Paradise |
31 |
TCP |
| Hackers Paradise |
456 |
TCP |
| Haebu Coceda
(= Naebi) |
25 |
|
| Happy 99 |
25 |
|
| Happy 99 |
119 |
TCP |
| Hidden Port
V2.0 |
99 |
|
| HVL Rat5 |
2283 |
TCP |
| ICKiller |
7789 |
TCP |
| ICQTrojan |
4590 |
TCP |
| IcqTrojan |
4950 |
|
| Illusion
Mailer |
2155 |
TCP |
| Illusion
Mailer |
5512 |
|
| Illusion
Mailer |
5521 |
|
| InCommand |
9400 |
|
| Indoctrination |
6939 |
TCP |
| Ini-Killer |
555 |
|
| iNi-Killer |
9989 |
TCP |
| Invisible
FTP |
21 |
|
| IRC 3 |
6969 |
|
| Kazimas |
113 |
TCP |
| Kazimas |
7000 |
|
| KeyLogger |
12223 |
TCP |
| Kuang 2 |
30999 |
TCP |
| Kuang2 |
25 |
|
| Kuang2 The
Virus |
13700 |
|
| Kuang2 The
Virus |
17300 |
TCP |
| Larva |
21 |
|
| Logged! |
20203 |
|
| Masters Paradise |
31 |
|
| Masters Paradise |
3129 |
TCP |
| Masters Paradise |
40421 |
TCP |
| Masters Paradise |
40422 |
TCP |
| Masters Paradise |
40423 |
TCP |
| Masters Paradise |
40425 |
TCP |
| Masters Paradise |
40426 |
TCP |
| Mavericks
Matrix |
1269 |
TCP |
| Millennium |
20000 |
TCP |
| Millennium |
20001 |
TCP |
| NeTAdmin |
555 |
|
| Netbios name
(DoS attacks) |
137 |
TCP/UDP |
| Netbios session
(DoS attacks) |
139 |
TCP/UDP |
| NetBus |
12345 |
TCP |
| NetBus |
12456 |
TCP |
| NetBus 1.x
avoiding Netbuster |
12346 |
TCP |
| NetBus 2
Pro |
20034 |
TCP |
| NetMetropolitan
1.0 & 1.04 |
503 |
1 |
| NetMetropolitan
1.04 |
5032 |
|
| NetMonitor |
7300 |
TCP |
| NetMonitor |
7301 |
TCP |
| NetMonitor |
7306 |
TCP |
| NetMonitor |
7307 |
TCP |
| NetMonitor |
7308 |
TCP |
| Netpatch |
31337 |
TCP |
| Netscape/Corba
exploit |
2086 |
TCP |
| NetSphere |
30100 |
TCP |
| NetSphere |
30101 |
TCP |
| NetSphere |
30102 |
TCP |
| Netsphere
Final |
30133 |
|
| NetSpy |
1024 |
TCP |
| NetSpy |
1033 |
|
| NetSpy DK |
31338 |
TCP |
| NetSpy DK |
31339 |
TCP |
| Nikhil G. |
1509 |
|
| Nikhil G. |
1807 |
|
| Nikhil G. |
2140 |
|
| Nikhil G. |
2801 |
|
| One of the
Last Trojans |
5011 |
|
| Online Keylogger |
49301 |
|
| Pass Ripper |
2023 |
TCP |
| Password
Generator Protocol |
129 |
TCP |
| Peur de Rien
FTP |
666 |
|
| Phase Zero |
555 |
TCP |
| Phineas Phucker |
2801 |
TCP |
| Pie Bill
Gates |
12345 |
|
| Ping Attack |
8 |
ICMP |
| Portal of
Doom |
3700 |
TCP |
| Portal of
Doom |
9872 |
TCP |
| Portal of
Doom |
9873 |
TCP |
| Portal of
Doom |
9874 |
TCP |
| Portal of
Doom |
9875 |
TCP |
| Portal of
Doom |
10067 |
TCP/UDP |
| Portal of
Doom |
10167 |
TCP |
| Portal of
Doom |
10167 |
UDP |
| Priority |
6969 |
TCP |
| Priority |
16969 |
TCP |
| ProgenicTrojan |
11223 |
TCP |
| ProMail Trojan |
25 |
|
| ProMail Trojan |
110 |
TCP |
| Prosiak |
33333 |
TCP |
| Prosiak 0.47 |
22222 |
TCP |
| Psyber Streaming
Server |
1024 |
|
| Psyber Streaming
Server |
1170 |
|
| Psyber Streaming
Server |
1509 |
TCP |
| Psyber Streaming
Server |
4000 |
|
| Rasmin |
531 |
TCP |
| Rasmin |
1045 |
TCP |
| RAT |
2989 |
UDP |
| Remote Explorer |
2000 |
TCP |
| Remote Grab |
7000 |
TCP |
| Remote Windows
Shutdown |
53001 |
TCP |
| RingZero |
80 |
|
| RingZero |
3028 |
TCP |
| RingZero |
3128 |
|
| RingZero |
8080 |
TCP |
| Robo-Hack |
5569 |
TCP |
| Satanz Backdoor |
666 |
|
| School Bus
1.6 & 2.0 5 |
4321 |
TCP |
| Schoolbus
1.0 |
4321 |
|
| Schoolbus
1.6 & 2.0 |
43210 |
|
| Schwindler |
50766 |
|
| Schwindler
1.82 |
21544 |
|
| Senna Spy |
11000 |
TCP |
| Senna Spy |
13000 |
TCP |
| ServeMe |
5555 |
TCP |
| ServeU |
666 |
|
| Shadow Phyre |
666 |
|
| Shit Heep |
6912 |
TCP |
| Shiva-Burka |
1600 |
TCP |
| ShockRave |
1981 |
TCP |
| Shtrilitz |
25 |
|
| Silencer |
1001 |
TCP |
| Socket 25 |
30303 |
|
| Socket23 |
5000 |
|
| Sockets de
Troie |
30303 |
TCP |
| Sockets de
Troie v1 |
5000 |
TCP |
| Sockets de
Troie v1 |
5001 |
TCP |
| Sockets de
Troie v2 |
50505 |
TCP |
| SoftWar |
1207 |
|
| SpySender |
1807 |
TCP |
| Stealth |
25 |
|
| Stealth Spy |
555 |
TCP |
| Streaming
Audio Trojan |
1170 |
TCP |
| Striker |
2565 |
TCP |
| SubSeven |
1243 |
TCP |
| SubSeven |
6711 |
TCP |
| SubSeven |
6712 |
TCP |
| SubSeven |
6713 |
TCP |
| SubSeven |
6776 |
TCP |
| SubSeven
2.1 |
27374 |
|
| SubSeven
2.1 |
27573 |
UDP |
| SubSeven
2.1 |
27573 |
TCP |
| SubSeven
Apocalypse |
1243 |
|
| Tapiras |
25 |
|
| TCP Wrappers |
421 |
TCP |
| Telecommando |
61466 |
TCP |
| Terminator |
25 |
|
| The Invasor |
2140 |
|
| The Invasor |
3150 |
|
| The Spy |
40412 |
TCP |
| The tHing |
6400 |
TCP |
| The tHing
1.6 |
6000 |
|
| The Unexplained |
29891 |
TCP/UDP |
| Tiny Telnet
Server |
34324 |
|
| Tiny Telnet
Server (= TTS) |
23 |
|
| TN |
34324 |
TCP |
| Total Eclypse
1.0 (FTP) |
3791 |
TCP |
| TransScout |
1999 |
|
| TransScout |
2000 |
|
| TransScout |
2001 |
|
| TransScout |
2002 |
TCP |
| TransScout |
2003 |
TCP |
| TransScout |
2004 |
TCP |
| TransScout |
2005 |
TCP |
| TransScout |
9878 |
TCP |
| Trin00 DoS
Attack |
27665 |
TCP |
| Trin00 DoS
Attack |
31335 |
UDP |
| Trojan Cow |
2001 |
TCP |
| Trojan Spirit
2001a |
30133 |
|
| Trojan Spirit
2001a |
33911 |
TCP |
| Ugly FTP |
23456 |
TCP |
| Ultors Trojan |
1243 |
|
| Ultor's Trojan |
12345 |
TCP |
| Unknown Trojan |
33390 |
UDP |
| Vampyre 1.0 |
6669 |
TCP |
| Voice |
1170 |
TCP |
| VooDoo Doll |
1245 |
TCP |
| WebEx |
21 |
|
| WebEx |
1001 |
TCP |
| Whack Job |
23456 |
|
| Whack-a-mole |
12361 |
TCP |
| Whack-a-mole |
12362 |
TCP |
| WhackJob |
12631 |
TCP |
| WinCrash |
21 |
|
| WinCrash |
3024 |
TCP |
| WinCrash |
4092 |
TCP |
| WinCrash |
5714 |
|
| WinCrash |
5741 |
|
| WinCrash |
5742 |
TCP |
| WinCrash
2 |
2583 |
TCP |
| WinPC |
25 |
|
| WinSatan |
999 |
|
| WinSpy |
25 |
|
| X-bill |
12345 |
|
| X-bill |
12346 |
|
| Xtcp |
5512 |
TCP |
| Xtcp |
5550 |
TCP |
| Xtreme |
1090 |
TCP |
|
