gulli: Trojaner - Pferde mit schädlichen Funktionen

Trojaner - Pferde mit schädlichen Funktionen

Trojanische Pferde - Was ist das?

Trojanische Pferde sind Programme, die eine schädliche Funktion beinhalten. Nicht selten verfügen Trojanische Pferde über eine für Anwender sehr nützliche Funktion. Die schädliche Funktion läuft lediglich im Hintergrund ab, ohne das dieses bemerkt wird.

Trojanische Pferde arbeiten nach verschiedenen Mustern. Zu einem gibt es Programme (Exe-Dateien), die keinerlei für den Anwender nützliche Funktionen aufweisen. Lediglich wird nach einem Start des vermeintlichen Programmes ein Trojaner auf dem PC installiert. Damit kein Verdacht geschöpft wird, erscheinen Fehlermeldungen, dass eine bestimmte Datei nicht vorhanden ist, um das vorgegebende Programm zu starten. Der Anwender löscht enttäuscht dieses unbrauchbare Programm und macht sich weiter keine Gedanken darüber. Desweiteren gibt es auch wesentlich "klügere" Trojanische Pferde, die sich hinter einem durchaus brauchbaren Programm verbergen. Wird das Programm installiert, kann es oft Monate dauern, bis ein Anwender bemerkt, dass sich ein schädliches Programm auf seinem System befindet.

Viele Trojaner installieren sich so auf dem System, damit dieses bei jedem Systemstart ebenfalls mitgestartet wird. - Somit läuft dieses Programm ständig im Hintergrund mit. Andere Trojanische Pferde starten erst, wenn ein bestimmter Vorgang (Start eines anderen Programmes) auf dem System stattfindet.

Wozu sind Trojanische Pferde in Lage, was können diese?

Die meißten Trojaner sind darauf aus, Benutzerdaten eines Online-Dienstes auszuspähen, nicht selten nur von einem bestimmten Provider. Trojaner, die ständig im Hintergrund im betroffenden System mitlaufen, zeichnen mitunter sämtliche Tastaturfolgen auf. - Dieses bedeutet, alle Daten, die der Anwender über die Tastatur eingibt. - Hier nutzt es leider gar nichts, wenn der Anwender sein Passwort für einen Online-Dienst nicht abspeichert, sondern erst bei der Anmeldung eingibt. Die gesammelten Daten werden nach der Einwahl unbemerkt an den Autor des Trojanischen Pferdes geschickt. Da die gesammelten Daten nach der soeben genannten Arbeitsweise, häufig viel zu gross und undurchsichtig für den Autor des Trojaners sind, arbeiten viele Trojanische Pferde weitaus intelligenter. Die "besseren" Trojaner, zeichnen lediglich die Tastaturfolgen auf, die den "Hacker" interessieren. Dazu könnten Eingaben von Passwörtern für Online-Dienste/ Mail-Accounts/Webseiten/FTP/ Kreditkarten-Nr., Konten usw. gehören. - In einigen Fällen werden sogar Home-Banking-Programme überwacht und die Daten weitergeschickt. Für den Hacker hat es den Vorteil, er gelangt nur an die für ihn relevanten Daten und muss diese somit nicht aus einem riesigen "Datenberg" rausfiltern. Diese Arbeitsweise von Trojaner ist als sehr gefährlich einzustufen, da diese die Eigenschaften besitzen können, an sämtliche Daten eines Anwenders zu gelangen.

Desweiteren gibt es auch ein Vielzahl von Trojanischen Pferden, die nicht ständig im Hintergrund eines Systemes mitlaufen: Diese Art von Trojanischen Pferden werden erst aktiviert, wenn der Anwender z.B. sein Programm für die Einwahl in einem Online-Dienst startet. Oder er ein sogenanntes Online-Tool verwendet, wenn er sich bereits online befindet. Der Trojaner wurde so programmiert, daß er sich die Dateien auf einem System sucht, wo ein Programm (z.B. Onlinesoftware, FTP-Mail - Programme) die Passwörter des Nutzers abspeichert: Viele Anwender nutzen auch heute leider noch die Funktion des Abspeichern von Passwörtern, damit diese nicht immer wieder neu eingeben werden müssen. - Keine Frage, dieses ist sehr praktisch, jedoch stellen diese Funktionen ein erhöhtes Sicherheitsrisiko da. Daher rate ich dringend, keine Passwörter für Online-Dienste und was auch immer noch auf Deinem System abzuspeichern. - Der Schaden kann später weitaus höher als der Nutzen sein, ein Passwort zu speichern. - Trojaner, die nach diesem Muster arbeiten werden somit keinen Erfolg verbuchen können. Passwörter werden zwar in der Regel verschlüsselt gespeichert, jedoch kannst Du davon ausgehen, der Hacker wird in der Lage sein, diese zu entschlüsseln.

Die dritte Art von Trojanischen Pferden nennt man auch ServerProgramme. Diese Trojaner ermöglichen dem Hacker auf das betroffene System zuzugreifen und sind mit Abstand die gefährlichsten, die es zur Zeit gibt. Da diese Trojaner in Regel alle auf dieser Seite genannten Arbeitsweisen vereinen können. Server-Programme sind zu folgendem in der Lage bzw. ermöglichen dem Hacker auf der "Gegenseite" zahlreichen Funktionen: Aufzeichnen der Tastaturfolgen, Auslesen von Passwörtern, herunter- und/oder heraufladen von Dateien von/auf Dein System. Der Hacker hat mitunter vollen Zugriff auf Deinen Rechner und kann fast alles machen, was er gerade möchte. Server-Programme bestehen aus einem Clienten (dieser wird benutzt um auf andere System zugreifen zu können) und dem eigentlichen Trojaner, dem Server. Das Server-Programm öffnet auf Deinem System verschiedene sogenannter Ports, damit der Zugriff auf Dein System durch den Hacker möglich wird. Der Client ist dazu in der Lage nach aktiven "Servern" irgendwo im Internet zu scannen (suchen). Somit wir dem Hacker bekannt auf welche Systeme er zugreifen könnte.

Du siehst, die Arbeitsweisen und Möglichkeiten eines Trojanischen Pferdes sind sehr breit gefächert. Auf alles bis in das letzte Detail einzugehen, würde den Rahmen dieser Seiten sprengen.

Erkennung Trojanischer Pferde

Oft erweist es sich für den weniger versierten Anwender als recht schwierig eine Trojaner-Infektion festzustellen. Deswegen sind die Erklärungen in verschiedene Be-reiche bzw. "Erkennungsmethoden" aufgegliedert.

Methode "Viren- oder Trojanerscanner"

Zunächst sollte der Anwender sich einen Virenscanner kaufen oder aus dem Internet herunterladen. Sehr viele Hersteller bieten eine in den Funktionen uneingeschränkte Testversion zum ausprobieren an. Eine Liste von Herstellern und Softwaretests findet sich auf www.trojaner-info.de.

Nachdem die Software installiert wurde, sollte unbedingt ein Update per Internet durchgeführt werden. Schliesslich werden täglich neue Trojanische Pferde durch die Autoren herausgegeben. Bevor der Anwender nun zum ersten mal sein System nach Viren und Trojanern suchen lässt, sind noch ein paar wichtige Einstellungen an der Antivirensoftware zu tätigen (soweit noch nicht durch den Hersteller der Software geschehen). Das Programm ist dahingehend zu konfigurieren, indem beim Scan ALLE Dateien untersucht werden. Meisst ist diese Funktion nicht durch den Hersteller voreingestellt. Ausserdem sollte das Programm in keinem Fall bei einer festgestellten Infektion sofort eine Säuberung oder Entfernung der infizierten Dateien vornehmen. Das ist sehr wichtig, da einige Trojaner den Virenscannern erhebliche Probleme bei der Entfernung bereiten bzw. diese sehr fehlerhaft entfernt werden. Das kann schnell zur Folge haben, dass ein System nicht mehr nutzbar und/oder unter Umständen kaum noch reparabel ist. Zum Beispiel der Trojaner SubSeven in neueren Version bereitet hier sehr oft erhebliche Probleme.

Wenn der Virenscanner eine Infektion feststellt, sollte sofort ein Fachmann (z.B. Support der jeweiligen Softwarefirma) zu Rate gezogen werden. Sollte die AntiViren Software keine Infektionen feststellen, so heisst das jedoch noch lange nicht, dass ein System auch wirklich Trojanerfrei ist. Wie man weiter vorgeht, wird im folgenden erläutert.

Methode "Autorun-Einträge überprüfen"

In der Regel macht ein Trojaner nur dann "Sinn", wenn er sich auf dem System dahingehend installiert, indem dieser bei jedem Systemstart ausgeführt wird. Das bedeutet: Der Trojaner läuft ständig im Hintergrund des Systemes mit und "wartet" nur darauf bis der User eine Onlineverbindung aufbaut. Hier erläutere ich die wichtigsten Möglichkeiten, wo der Trojaner eine Veränderung bzw. Eintragung vornimmt, damit dieser stets ausgeführt wird.

Autostart-Ordner
Diese Möglichkeit wird von Trojanern sehr selten genutzt. Grund: Die Entdeckungsgefahr ist zu hoch. Den Autostart-Ordner findest du z.B. wie folgt: Windows-Start - Suchen - Dateien/Ordner - Autostart eingeben - Der Ordner wird angezeigt - Doppelklicken - Jetzt siehst du alle Einträge.

Win.ini
Eine vor allem früher sehr häufig anzutreffende Methode ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach rechts (falls denn ein solcher Balken vorhanden sein sollte). Den besten Zugriff auf die Win.ini hast du, indem du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken. Nun werden verschiedene Fenster geöffnet, auch die Win.ini. Die sysedit.exe wirst du noch öfters brauchen, wenn du die Beschreibungen weiter aufmerksam liest.

System.ini
Eine Eintragung erfolgt unter dem Paramter "shell=". Vorsicht! Hier ist schon eine Eintragung Namens Explorer.exe enthalten. - Die nicht löschen!!! Es könnten jedoch hinter Explorer.exe noch weitere Eintragungen erfolgen. Die System.ini findest du auf dem gleichen Weg, wie unter Win.ini beschrieben. Hier erfolgen jedoch eher seltener entsprechende Eintragungen.

autoexec.bat
Hier solltest du ebenfalls mit dem Löschen von Eintragungen vorsichtig sein. Denn auch hier tragen sich einige harmlose Programme ein. Trojaner nutzen diese Möglichkeit jedoch so gut wie gar nicht. Da jedoch diese Möglichkeit ebenfalls gegeben ist, erwähne ich diese auch. Die Autoexe kannst du auch in der Sysedit.exe (Beschreibung unter Win.ini) einsehen und bearbeiten.

Config.sys
Einige, wenige Trojaner tarnen sich auch als Gerätetreiber auf Windows 95/98 Systemen. Diese Trojaner lassen sich jedoch schwer realisieren und sind daher zum Glück noch recht selten. Die Config.sys ist ebenfalls mittels der Sysedit.exe auffindbar. Es sollte Ausschau nach Eintragungen unter: Device=, Install=, Devicehigh=, Installhigh= und Shell= gehalten werden. Auch hier gilt natürlich, ein Eintrag muss nicht unbedingt ein Trojaner bedeuten. Also nicht wahllos löschen oder Änderungen vornehmen.

Winboot.ini
Im Normalfall ist diese Datei nicht vorhanden, ersetzt jedoch im Fall der Fälle die Msdos.sys. Nur unter Windows 95/98.

Winstart.bat
Wenn hier eine Eintragung erkennbar ist, bedeutet dieses in der Regel folgendes: Eine Befehlzeile veranlasst das Kopieren einer Datei, welche vor dem letzten Systemstart gelöscht wurde. Bisher sind kaum Trojaner bekannt, die diesen Weg nutzen. Ein Beispiel hierfür wäre jedoch "DerSpäher 2".

Wininit.ini
Nicht zu verwechseln mit der Win.ini ! Die Wininit.ini muss sich im übrigen auch nicht auf jedem System befinden. Jedoch kann hier einmalig zwecks Autorun (also Ausführung einer Datei bzw. eines Trojaners) ein Eintrag erfolgen, welcher danach sogar gelöscht wird. Im übrigen heisst die Wininit.ini im ausgeführten (geladenen) Windows-System Winit.bak Die Wininit.ini nutzen auch mitunter Virenscanner zur Entfernung von Trojanern oder auch manchen Viren.

progman.ini
Das ist quasi noch die "alte" win.ini von Windows 3.x, welche sogar ebenfalls noch bei Start verarbeitet wird.

Win.bat
In Normalfall entweder gar nicht vorhanden oder leer.

Cmdinit.bat
Diese Autostartmethode ist nur unter Windows ME möglich.

Dosstart.bat
Ebenfalls Programmaufrufe möglich, nur unter Windows 95/98.

control.ini
Auch hier ist theoretisch möglich, einen Eintrag zwecks Autorun zu tätigen. Bisher ist mir jedoch noch kein Fall bekannt, wo sich eine Trojaner hier eingetragen hat. Die Möglichkeiten wären jedoch sicherlich machbar.

Msdos.sys
Systempfade können verbogen werden, daher auch Autostarts möglich.

Autoexec.net und Config.nt
Nur unter den Systemen Windows 2000 und XP auffindbar.

 

 

Windows-Registrierung

Zuerst rufst du die Registrierung deines Systems auf. - Diese kannst du u.a. in folgenden Schritten tun: Windows-Start - Ausführen -regedit eingeben - OK klicken. - Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet sich. Jedoch keine Angst, uns interessieren lediglich einige, wenige Pfade:

Kann Pfad zu einer POL-Datei enthalten, die mit Poledit bearbeitet wird und wiederum einen Autostart enthält. Der Eintrag imzweiten, genannten Pfad muss auf "0" stehen, wenn dieser Weg nicht genutzt wird.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ Update\NetworkPath\

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control \Update\UpdateMode\

Ruft eigentlich folgenden Paramater auf, kann aber auch missbraucht werden: %windir%\system32\userinit.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Userinit\

Andere Autostarteinträge:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnceEx\

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ Windows\System\Scripts\Startup

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\ShellServiceObjectDelayLoad\

 

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run\

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunOnce\

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServices\

 

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\Run\

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ CurrentVersion\Load\

HKEY_CURRENT_USER\Software\Policies\Microsoft\System\
Scripts\

 

HKEY_CLASSES_ROOT\exefile\shell\open\
command\ @="%1" %*"

HKEY_CLASSES_ROOT\comfile\shell\open\
command\ @="\"%1\" %*"

HKEY_CLASSES_ROOT\batfile\shell\open\
command\ @="\"%1\" %*"

HKEY_CLASSES_ROOT\htafile\Shell\Open\
Command\ @="\"%1\" %*"

HKEY_CLASSES_ROOT\piffile\shell\open\
command\ @="\"%1\" %*"

 

HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\ shell\open\command\ @="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\ shell\open\command\ @="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\ shell\open\command\ @="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\ Shell\Open\Command\ @="\"%1\" %*"

HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\ shell\open\command\ @="\"%1\" %*"

Vor der Zeichenkette "%1" %* könnte noch ein Programm eingetragen worden sein. Standartmässig ist jedoch nur die hier genannte Eintragung gegeben. Sollte hier somit noch eine ausführbare Datei (exe,com etc.) enthalten sein, so könnte sich ein Trojanisches Pferd dahinter verbergen. Bei Trojanerverdacht in keinem Fall den gesamten Eintrag entfernen, sondern nur das Programm!

Eine weitere Möglichkeit bei ICQ-Usern besteht darin:

HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test\ "Path"="test.exe" "Startup"="c:\\test" "Parameters"=""
"Enable"="Yes"

Browser Helper Objekts

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Explorer\BrowserHelperObjects\

Auch der eigentliche Autostartordner kann mittels der Registry anders festgelegt werden. Auch hier lohnt sich ein Blick, wenn sonst nichts zu finden ist. Das bedeutet so viel, man könnte einen ganz anderen Autostart-Ordner über diesen Registry-Pfad festlegen und ungewünschte Dateien starten lassen:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserShellFolders\Startup\

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ CurrentVersion\Explorer\ShellFolders\Startup\

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserShellFolders\Startup\

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\ShellFolders\Startup\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserShellFolders\
CommonStartup\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Explorer\ShellFolders\ComonStartup\

Registry Installed Components

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\ Installed Components\

Der Default-Wert lautet:

"Trojaner"\StubPath - C:\WINDOWS\SYSTEM\"trojaner".exe

Registry Common Startup Schlüssel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Currentversion\explorer\User shell folders.

Der Eintrag heisst: C:\WINDOWS\SYSTEM\dv\ (wobei "dv" auchabweichenkönnte). Unter diesem Pfad befindet sich auch der Server, sowie unter den gegebenen Umständen in einem weiteren Verzeichnis.

Tarnung als Gerätetreiber
Ein Trojanisches Pferd kann sich auch als Gerätetreiber tarnen, welches jedoch noch verhältnismässig selten der Fall ist. Auch erweist sich die genaue Identifizierung als nicht gerade einfach. Schliesslich kann sich dahinter auch ein harmloser Gerätetreiber verbergen, der bei Löschung mehr Schaden als Nutzen hervorbringen kann. Auch hier erfolgt eine Eintragung in der Registrierung jedoch unter einem "ungewohntem" Pfad:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\INTLD

Zur Identifizierung sollte jedoch zumindest ein Process Viewer zur Hilfe genommen werden, der unter Umständen eine der im o.g. Pfad Eintragungen als laufenden Process anzeigt. Aber auch Windows liefert von Haus aus ein sehr brauchbares Programm "Dr. Watson" mit. ImZweifelsfall in jedem Fall einen Fachmann zu Rate ziehen (welches natürlich in allen beschriebenen Fällen dieser Rubrik gilt). Das Trojanische Pferd "Donald Dick" macht sich diese Autorun- Methode zunutzen.

Die in der Registrierung genannten Pfade werden als Ordner dargestellt und erreicht man mit jeweiligen Doppelklicks auf den Icons. Auch hier ist wieder Vorsicht geboten, welche Einträge gelöscht werden. Die Möglichkeit zwecks Start beim Systemstart wird von sehr vielen harmlosen Programmen (z.B. Deinstaller, Virenscannern, BackUp-Toolsetc.), jedoch auch Trojanischen Pferden genutzt. Es gibt noch zahlreiche andere Eintragungsmöglichkeiten zwecks Autorun in der Registrierung. Diese werden jedoch (zum Glück) nur selten von Trojanischen Pferden genutzt.

Hilfreich ist auch das Windowseigene Programm "msconfig". Gehe also einfach auf den Start-Button (unten links Desktop), dannauf "Ausführen" und gibt msconfig ein. Über dieses Programm kannst du viele der oben genannten Einträge überprüfen und bequem ändern. Auch über"sysedit" findest du viele der o.g. Eintragungsmöglichkeiten. Gehe vor wie unter "msconfig", gib stattdessen jedoch sysedit ein. Es werden sich mehrere Fenster in Editorform öffnen.

Der Trojaner "Sockets de Troie" kann nicht über die genannten Wege identifiziert und entfernt werden. - Dazu rate ich das Anti-Viren-Programm Kaspersky Anti-Virus(http://www.datsec.de)gegebenfalls als Testversion herunterzuladen und das System danach zu scannen. Kaspersky Anti-Virus kann diesen Trojaner entfernen.

Methode über "Explorer.exe" auf Laufwerk C:

Aufgrund eines Bugs in Windows, wird immer zunächst die "erste explorer.exe" ausgeführt (also in Verzeichnis C:), bevor die eigentliche explorer.exe (in c:windows) gestartet wird. Die explorer.exe in c: bewirkt, dass ein Trojaner zunächst geladen wird, der sich im Verzeichnis c:windowssystem oder anderswo befindet.

Ersetzen der Datei runonce.exe
Bisher mir selber nur bei dem Trojaner Schoolbus bekannt. Die Original Windows runonce.exe wird durch ein modifizierte Datei ersetzt, die somit eine Autorun-Methode ermöglicht. Die Original "runonce.exe" ist unter Win95 11.264 Bytes und Win 98/ME 40.960 Bytes gross. Sollte also eine runonce.exe gefunden werden, die eine andere Grösse aufweist, so könnte sich auch hier ein Trojanisches Pferd verbergen. Ich betone KÖNNTE ! Zur weiteren Erklärung dieser Methode, empfehle ich, die Beschreibung des Trojaners Schoolbus 2.0 auf www.trojaner-info.de zu lesen.

Start über aktive Inhalte des Explorers

Active Desktop C:WinntWeb*.htt C:WindowsWeb*.htt C:Dokumente und Einstellungen \Desktop als Webansicht C:WindowsProfiles\Desktop als Webansicht C:WindowDesktop als Webansicht

Methode "Laufende Prozesse überprüfen"

Häufig kommt man einem Trojaner schon auf die Schliche, indem man die sogenannten laufenden Prozesse überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überüfen kann man dieses über verschiedene Wege:

Betätige die Tasten: AltGr + Strg + Entf. Nun erscheint eine Box, welche laufende Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meissten Trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" zu verstecken.

Windows liefert von Haus aus ein gutes Werkzeug zur Überprüfung aller laufenden Prozesse mit. Das Programm heisst "DrWatson". Dazu gehe auf das Windows-Startlogo (unten links im Desktop), dann auf "Ausführen" und gib drwatson ein. Nun wird das Programm aufgerufen und führt zunächst ein paar Analysen durch. Gehe auf den Menüpunkt "Ansicht" und wähle die Option "Erweiterte Ansicht". Für Anfänger erweist sich Dr Watson jedoch als recht schwierig, da es wirklich gnadenlos alles anzeigt, was dein Windows so hergibt. Für Experten in jedem Fall eine sehr wertvolle Hilfe. Wer es jedoch einfacher haben möchte, der kann sich aus dem Internet einen sogenannten "Process Viewer" herunterladen.

Methode "Überprüfung der Ports mittels Netstat"

Da wie weiter oben beschrieben, die meissten Trojaner im Hintergrund auf eine Onlineverbindung "warten", belegen diese einen Port. Die Ports kann man mittels des Programmes "netstat" überprüfen. Das Programm befindet sich von Haus aus auf einem Windows-System.

Rufe die DOS-Eingabeaufforderung auf und gib folgenden Befehl ein: netstat -a

Jedoch solltest du dieses nur offline durchführen indem keine Internetverbindung besteht. Noch besser ist es sogar, wenn du zuvor dein System nochmals neu startest, soltest du schon eine Onlineverbindung während dieser Windows-Sitzung gehabt haben.

Hier ein Beispiel, welche Meldung Netstat ausgeben könnte:

Active Connections
Proto Local Address Foreign Address State TCP _:27374 0.0.0.0:45178 LISTENING UDP _:27374 *:*

Wie man hier sehen kann, wird der Port 27374 "belegt". Anhand der Portliste auf www.trojaner-info.de könnte man daraus schliessen, dass ein System mit dem SubSeven Trojaner neuerer Version infiziert ist. Zumindest ist es ein recht sicheres Anzeichen dafür. Jedoch möchte ich noch erwähnen, dass man anhand des belegten Ports und der Portliste nie zu 100 % bestimmen kann, um welchen Trojaner es sich genau handelt. Sehr viele Trojaner bieten die Möglichkeit einen Port selber festzulegen.

Die Überprüfung mittels einer einzigen hier genannten Methode ist nicht unbedingt empfehlendswert. Geht der Anwender jedoch alle hier genannten Methode nacheinander durch, wird man dem Trojaner sicherlich auf die Schliche kommen können.

Wichtig! - Bevor du irgendwelche Änderungen an deinem System gemäss den hier genannten Möglichkeiten tätigst, lese bitte auch die anderen Seiten meiner Trojaner-Rubrik. Du solltest dir immer merken, was du auf deinem System in letzter Zeit installiert hast. - Auch hat es sich bewährt, immer wieder die genannten Möglichkeiten anzuschauen. - So ist ausreichend gewährleistet, dass kein wichtiges Programm "zerstümmelt" wird. Weniger erfahrene Anwender sollten in jedem Fall einen Fachmann zu Rate ziehen bevor in Panik irgendwelche Dinge entfernt werden. Falsche Handhabungen können unter Umständen das gesamte System ausser Gefecht setzen !!!

Beseitigung Trojanischer Pferde

Du hast ein Trojanisches Pferde auf Deinem System entdeckt. Bei der Beseitigung ist einiges zu beachten, damit Du in Zukunft wieder trojanerfrei arbeiten kannst. Bitte lese diesen Bericht genau und vor allem auch bis zum Ende! Ich gebe Dir eine Schritt für Schritt Anleitung, wie Du vorgehen mußt, um diesem "Plagegeist" entgültig an den Leib zu rücken. Wichtig: Der Trojaner "Sockets de Troie" kann nicht über die beschriebenen Wege entfernt werden. - Dazu empfiehlt sich Kaspersky AntiVirus (ehemals AVP).

Anleitung Version 1:

  1. Nachdem Du eine Eintragung gefunden hast (siehe unbedingt Rubrik "Erkennung)", notiere Dir diese bitte, bevor Du den Eintrag löschst. Es ist unerheblich, wo sich der Eintrag befindet (Win.ini, Registrierung usw.), wenn Du diesen Schritt vornimmst.
  2. Lösche die gefundene Eintragung und starte Windows neu. Nun wurde der Trojaner nicht mehr bei Systemstart erneut geladen. - Dieser Schritt hat den Hintergrund: Dateien, die noch ausgeführt (also im System mitlaufen) können nicht gelöscht werden.
  3. Die notierte Eintragung (siehe Schritt 1) muss jetzt auf Deinem System gesucht werden. Es handelt sich nämlich auch um den Programmnamen des Trojanischen Pferdes. Suchen geht am Besten wie folgt: Windows-Start-Button - Suchen - Dateien/Ordner - Programmnamen eingeben und suchen lassen. Die gefundene Datei löschen. Es kann passieren, dass diese Datei sogar mehrfach auf Deinem System vorhanden ist. - Manche Trojaner, legen mehrere Kopien auf einem System an, jedoch stets im Laufwerk C.

    Vorsichtshalber lasse auch alle anderen Laufwerke (falls vorhanden) durchsuchen und lösche gegebenfalls auch diese Dateien. Es kann durchaus sein, dass sich immer noch die Original-Datei auf Deinem Computersystem befindet, womit Du den Trojaner "zum Leben" erweckt hast.

  4. Starte aus Sicherheitsgründen nochmal Dein System neu. Jetzt gehe bitte erneut die einzelnen Möglichkeiten aus meiner Rubrik "Erkennung" durch. - Wenn Du nichts mehr finden kannst, ist der Trojaner entfernt.

    Solltest Du das Trojanische Pferd auf diese Weise nicht entfernen können, musst Du bitte folgendes tun:

    Gehe vor dem Schritt 1 in den abgesicherten Modus ! ! ! So kommst Du in den abgesicherten Modus von Windows:

    Starte Dein System neu. Bei Windows 98: Die "Strg-Taste" beim Start gedrückt halten, bei Windows 95 die "F8-Taste" drücken, wenn die Meldung "Windows wird gestartet" erscheint. Jetzt kommt ein Menü, aus dem Du "abgesicherten Modus" wählst. Der Start wird jetzt länger dauern als gewohnt. Nicht erschrecken, sollte Deine Festplatte wie verrückt rattern, ist normal, genau wie die grosse Auflösung, die dann erscheinen wird.

 

Anleitung Version 2 (Die einfachste und schnellste)

Nachdem Du den Trojaner identifiziert hast und den Namen, sowie Pfad kennst (z.B. schon mit Hilfe eines ProcessViewers), beende dieses Programm mit Hilfe eines Process Viewers (Gleich danach kannst Du den Trojaner löschen, OHNE Windows dauernd neu starten zu müssen. Sei jedoch vorsichtig und sorgsam, WAS Du löschst. Eine wichtige, gelöschte Systemdatei könnte unter Umständen Dein gesamtes System zerstören ! ! ! Danach entferne noch den "Run-Eintrag" (z.B. aus Win.ini, Registrierung etc.). Solltest Du vergessen, den Run-Eintrag zu löschen kann es eventuell passieren, dass Windows nach jedem Neustart des Systemes eine Fehlermeldung über eine nicht gefundene Datei ausgibt (kann, aber muss nicht sein, je nach Eintragungsort). Ein sehr gutes Hilfsprogramm unter dem Namen "TrojanCheck" erleichtert dir die Arbeit erheblich. Das Programm ist Freeware und unter: www.trojancheck.de erhältlich

ACHTUNG!

Man könnte durchaus auch die DOS-Ebene nutzen um Trojaner zu entfernen. Da sich ein grosser Teil von Anwendern jedoch mit DOS nicht auskennt (ich selber auch nicht so besonders :-o), verzichte ich auf derweilige Beschreibungen. Desweiteren gibt es Trojaner, die sich ohnehin auch in der DOS-Ebene nicht entfernen lassen, da diese auf DOS basieren bzw. unter DOS gestartet werden oder entsprechende Verweise enthalten. Für diese Art von Trojanern erweist sich die die "Anleitung Version 2" am Besten!!

 

 

Schutz vor Trojanischen Pferden

Einen 100%igen Schutz gibt es nur, wenn Du überhaupt keine neuen Programme auf Deinem System zulässt. Wenn man jedoch einiges beachtet, ist die Gefahr erheblich geringer sich ein solches "Haustier" einzufangen.

Immer wieder wird in den Medien davor gewarnt, Programme aus unbekannten Quellen auf seinem Computer auszuführen. - Dazu gehören z.B. Programme von Internet-Seiten, die einem nicht bekannt sind oder auch von vorneherein etwas merkwürdig vorkommen (ich hoffe doch meine nicht....). Oder es wird einem unaufgefordert ein Programm per E-Mail zugeschickt. - Lösche solche Mails bitte vollständig, auch wenn vielleicht doch keine bösen Absichten vom Versender gegeben sind. - Aber dieses weiß man nicht und sollte somit auf Nummer sicher gehen.

Natürlich sind viele Programme unbekannter Herkunft. Oder weisst Du stets, von wem das ein oder andere Programm auf Deinem System wirklich herkommt? Also solltest Du Dir immer wieder in gewissen Abständen einfach mal die Zeit nehmen, Dein System gemäss den Beschreibungen unter der Rubrik "Identifizierung" unter die Lupe zu nehmen. Klingt nach viel Arbeit, wenn man die Schritte ein erstes Mal durchgeht. - Machst Du dieses jedoch öfters, hast Du Routine und alles geht sehr schnell.

Auch besteht die Möglichkeit, Dateien mit einem Schreibschutz zu versehen, wie z.B. die Win.ini, System.ini usw. - Jedoch werden dann häufig Probleme bei Neuinstallationen von Programmen auftreten. - Du mußt jedes Mal zuvor den Schreibschutz wieder entfernen. Es liegt in Deinem Ermessen, ob man diese Möglichkeiten nutzen sollte.

Zum Glück gibt es endlich auch einige sehr guten Virenscanner, die sehr viele Trojanische Pferde identifizieren und auch entfernen. - Bis vor gar nicht so langer Zeit erkannten diese Scanner zwar viele tausend Viren, jedoch kaum Trojanische Pferde. Ich persönlich empfehle folgende Anti-Viren-Programme, die besonders gut in der Lage sind, Trojanische Pferde zu erkennen:

Kaspersky Anti-Virus (ehemals AVP)
Auf der Homepage des Herstellers http://www.datsec.de kannst Du Dir sogar zunächst eine zeitbegrenzte Testversion herunterladen. Wöchentlich liegen neue Updates vor. Die Vollversion kannst du direkt auf der Homepage beziehen.

Mc Afee
Auch hier gibt es eine Testversion, die jedoch eine Zeitbeschränkung hat. Das Programm kannst Du entweder im Computer-Handel käuflich erwerben oder ebenfalls auf der Homepage: http://www.nai.com

Autor: Trojaner-Info 23.09.2003 Stand: 22.08.2005
www.trojaner-info.de

Suche

ANZEIGE

RSS

gulli rss gulli News abonnieren
Add to Google
gulli:news feedburner stats
Wie funktioniert RSS?

AKTION

Wir haben bezahlt!
Für günstige, legale und DRM-freie Musik.

Napping

Das Beste von gulli auch auf deiner Seite?
Newsfeed abonnieren  news feed
Suche auf deiner Seite  suchbox
Banner und Buttons  banner & buttons

Support

Rettet das Internet

Piratenpartei Österreich

Piratenpartei Deutschland

© COPYRIGHT 2007 GULLI.COM