Erkennung Trojanischer Pferde
Methode "Laufende Prozesse überprüfen"
Häufig kommt man einem Trojaner schon auf die Schliche, indem man die sogenannten laufenden Prozesse überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überüfen kann man dieses über verschiedene Wege:
Betätige die Tasten: AltGr + Strg + Entf. Nun erscheint eine Box, welche laufende Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meissten Trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" zu verstecken.
Windows liefert von Haus aus ein gutes Werkzeug zur Überprüfung aller laufenden Prozesse mit. Das Programm heisst "DrWatson". Dazu gehe auf das Windows-Startlogo (unten links im Desktop), dann auf "Ausführen" und gib drwatson ein. Nun wird das Programm aufgerufen und führt zunächst ein paar Analysen durch. Gehe auf den Menüpunkt "Ansicht" und wähle die Option "Erweiterte Ansicht". Für Anfänger erweist sich Dr Watson jedoch als recht schwierig, da es wirklich gnadenlos alles anzeigt, was dein Windows so hergibt. Für Experten in jedem Fall eine sehr wertvolle Hilfe.
Wer es jedoch einfacher haben möchte, der kann sich aus dem Internet einen sogenannten "Process Viewer" herunterladen. Auf dieser Seite sind entpsrechende Links und andere Hilfsprogramme zu Analyse verfügbar.
Methode "Überprüfung der Ports mittels Netstat"
Da wie weiter oben beschrieben, die meissten Trojaner im Hintergrund auf eine Onlineverbindung "warten", belegen diese einen Port. Die Ports kann man mittels des Programmes "netstat" überprüfen. Das Programm befindet sich von Haus aus auf einem Windows-System.
Rufe die DOS-Eingabeaufforderung auf und gib folgenden Befehl ein: netstat -a
Jedoch solltest du dieses nur offline durchführen indem keine Internetverbindung besteht. Noch besser ist es sogar, wenn du zuvor dein System nochmals neu startest, soltest du schon eine Onlineverbindung während dieser Windows-Sitzung gehabt haben.
Hier ein Beispiel, welche Meldung Netstat ausgeben könnte:
Active Connections
Proto Local Address Foreign Address State
TCP _:27374 0.0.0.0:45178 LISTENING
UDP _:27374 *:*
Wie man hier sehen kann, wird der Port 27374 "belegt". Anhand der Portliste könnte man daraus schliessen, dass ein System mit dem SubSeven Trojaner neuerer Version infiziert ist. Zumindest ist es ein recht sicheres Anzeichen dafür. Jedoch möchte ich noch erwähnen, dass man anhand des belegten Ports und der Portliste nie zu 100 % bestimmen kann, um welchen Trojaner es sich genau handelt. Sehr viele Trojaner bieten die Möglichkeit einen Port selber festzulegen.
Die Überprüfung mittels einer einzigen hier genannten Methode ist nicht unbedingt empfehlendswert. Geht der Anwender jedoch alle hier genannten Methode nacheinander durch, wird man dem Trojaner sicherlich auf die Schliche kommen können.
Wichtig ! - Bevor du irgendwelche Änderungen an deinem System gemäss den hier genannten Möglichkeiten tätigst, lese bitte auch die anderen Seiten meiner Trojaner-Rubrik. Du solltest dir immer merken, was du auf deinem System in letzter Zeit installiert hast. - Auch hat es sich bewährt, immer wieder die genannten Möglichkeiten anzuschauen. - So ist ausreichend gewährleistet, dass kein wichtiges Programm "zerstümmelt" wird.
Weniger erfahrene Anwender sollten in jedem Fall einen Fachmann zu Rate ziehen bevor in Panik irgendwelche Dinge entfernt werden. Falsche Hanhabungen können unter Umständen das gesamte System ausser Gefecht setzen !!!
Auch sollten die Berichte unter der Rubrik "Reporte" beachtet und gelesen werden. Hier sind ebenfalls viele sehr nützliche Tipps und Dokumentationen enthalten.
<< Windows-Registrierung
(tt) 28.04.2003
