defense.at Onlinemagazin

Was ist ein Trojaner?

Ein Trojanisches Pferd oder Trojaner ist in der IT ein Programm, welches Schaden anrichten kann, sich aber vor dem Nutzer versteckt.

Aus jedem simplen Virus oder Wurm kann mit entsprechenden Zusatzprogrammen ein Trojanisches Pferd oder kurz Trojaner werden. Trojaner werden oft als Programme bezeichnet, die vorgeben, etwas Nützliches oder Wünschenswertes zu tun (dies vielleicht auch wirklich machen), die jedoch gleichzeitig eine bestimmte Aktion ausführen, die vom Opfer nicht erwartet oder gewünscht wurden. Zu diesen Aktionen gehören beispielsweise das Ausspähen von Passworten oder die totale Zerstörung des Wirtssystems.

Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors) ein, durch die ein Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen.

Ein trojanisches Pferd kann sich nur von einem System zum nächsten fortpflanzen, wenn der Benutzer dazu "überredet" werden kann, es zu übertragen. Trojanische Pferde beinhalten keine eigene Infektionsroutine.

Woraus setzt sich ein Trojaner zusammen?

Ein Trojaner besteht in der Regel aus mehreren Komponenten. Das Server Programm, der Client, und Konfigurationstools. Das Serverprogramm ist der Teil, der verschickt wird, und sich auf dem "feindlichem Rechner" installiert. Mit dem Client kann der Hacker auf den Server zugreifen. Bei der Konfiguration gibt es meist mehrere Möglichkeiten. Der Server wird so eingestellt, dass nur die Personen auf den PC zugreifen können, die das Paßwort kennen, oder es wird so konfiguriert, das der Server jedem antwortet. Spaß für alle !!

Was macht ein Trojaner?

Wenn der Server erst einmal auf einem PC installiert ist, hat der betreffende ein ernstes Problem !

Das Programm startet automatisch beim Start von Windows mit, ohne das der Anwender dies feststellt. Bei der Installation (die "unsichtbar" im Hintergrund abläuft) hat sich der Server an verschiedenen Stellen in die Startroutinen geschrieben.

Wird der Server vom Clienten angesprochen, stehen dem Angreifer -je nach Trojaner- folgende Möglichkeiten offen:

 Vollzugriff auf sämtliche Dateien; Natürlich können auch Dateien auf den Rechner kopiert werden !

Öffnen und schließen des CD Laufwerks

Einblenden diverser Text- und Fehlermeldungen bzw. Fragen

Ändern der Hinterrundfarben

Blockieren der Maussteuerung

Ausblenden der Taskleiste (somit ist auch das Startmenü bzw. der Beenden-Button weg)/li>

Blockieren der Tastenkomination ALT+STRG+ENTF (Warmstart)

Vollzugriff auf MS-DOS Befehle (z.B. Format)

Starten eines Keyloggers ; Dieser protokolliert sämtliche Tastaurbefehle. Sobald man das nächste mal Online ist, werden diese verschickt. Und das beste an Keyloggern : Alle Paßwörter sind frei lesbar.

Vollzugriff auf die Registry !

Anzeigen sämtlicher im PC gespeicherten Paßwörter

Abspielen von Musikstücken am PC

Tastenanschläge senden, damit kann man z.B. mit 2 Tastaturen in Word schreiben .... hoffentlich sind sich beide einig :-)

Woher weiß der Hacker, daß ich online bin?

Hier gibt es zwei Möglichkeiten:

1. Der Server wird zufällig gefunden. Fast alle Clientprogramme haben einen Portscanner dabei. Damit steht jedem Tür und Tor offen. Ist der Server ohne Paßwort konfiguriert, hat auch jeder den o.g. Zugriff.

2. Je nach Trojaner meldet sich der Server, wenn er online ist auf unterschiedliche Weisen. Er schickt eine eMail, er sendet anICQ eine Nachricht. Dabei übermittelt er auf jeden Fall die IP-Nummer , was das auffinden möglich macht.

Ich habe einen Trojaner !

verspätete Vorsichtsmaßnahmen treffen

Als erstes sollte man alle Paßwörter ändern ! Dies natürlich nicht vom eigenen PC !!! Der sicherste Weg ist ein Anruf beim Provider ! Der hat die Möglichkeiten, die Paßwörter zu ändern. Wenn man die Paßwörter über den eigenen PC ändert, dann gelangen die Paßwörter natürlich auch wieder zur "Gegenstelle".

Sollten auf dem PC auch TAN's gespeichert sein, empfiehlt es sich, das Konto für Onlinezugriffe zu sperren. Zur Not geht dies, wenn man 3 mal das Paßwort falsch eingibt.

Beseitigung eines Trojaners

Die meisten Trojaner tragen sich in Startdateien ein . Damit werden sie beim Start von Windows automatisch mitgeladen. Sie laufen die ganze Zeit aktiv im Hintergrund und warten auf Ihren "Auftritt".

Als Startdateien sind folgende Dateien anzusehen :

config.sys, autoexec.bat, WIN.INI und SYSTEM.INI Startmenü(Autostart) und die Registry

Somit müssen sie aus den Startdateien entfernt werden. Wo sich welcher Trojaner einträgt wird auf den "Deutschen Trojaner Seiten" beschrieben.

Mit diesem Wissen ist es natürlich auch möglich, vorsorglich nach Trojanern zu suchen. Wenn man die oben genannten "Dateien" regelmaßig durchsieht, entdeckt man relativ schnell Unstimmigkeiten.

Wo muß ich in der Registry suchen ?

VORSICHT !! Löschen einzelner Schlüssel kann zu Systemabstürzen führen !! Bitte nur mit entsprechendem Know-How ändern !

Unter folgenden Schlüsseln in der Registry können sich Trojaner eintragen :

HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run

HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / RunOnce

HKEY_LOCAL_MASCHINE / Software / Microsoft / Windows / CurrentVersion / Run

HKEY_LOCAL_MASCHINE / Software / Microsoft / Windows / CurrentVersion / RunOnce

HKEY_LOCAL_MASCHINE / Software / Microsoft / Windows / CurrentVersion / RunServices

HKEY_LOCAL_MASCHINE / Software / Microsoft / Windows / CurrentVersion / RunServicesOnce

Alles was hier eingetragen ist, wird gestartet ! Vor dem Löschen sollte man die einzelnen Schlüssel alle überprüfen ! Vielleicht ist es ja doch ein Programm, was nur in der Task Leiste eingetragen ist.

NICHT VERGESSEN ! VOR DEM LÖSCHEN, DEN JEWEILIGEN SCHLÜSSEL ERST EXPORTIEREN !