Erkennung Trojanischer Pferde
Methode "Autorun-Einträge überprüfen"
In der Regel macht ein Trojaner nur dann "Sinn", wenn er sich auf dem System dahingehend installiert, indem dieser bei jedem Systemstart ausgeführt wird. Das bedeutet: Der Trojaner läuft ständig im Hintergrund des Systemes mit und "wartet" nur darauf bis der User eine Onlineverbindung aufbaut.
Hier erläutere ich die wichtigsten Möglichkeiten, wo der Trojaner eine Veränderung bzw. Eintragung vornimmt, damit dieser stets ausgeführt wird.
Autostart-Ordner
Diese Möglichkeit wird von Trojanern sehr selten genutzt. Grund: Die Entdeckungsgefahr ist zu hoch. Den Autostart-Ordner findest du z.B. wie folgt: Windows-Start - Suchen - Dateien/Ordner - Autostart eingeben - Der Ordner wird angezeigt - Doppelklicken - Jetzt siehst du alle Einträge.
Win.ini
Eine vor allem früher sehr häufig anzutreffende Methode ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht ! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach rechts (falls denn ein solcher Balken vorhanden sein sollte). Den besten Zugriff auf die Win.ini hast du, indem du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken.
Nun werden verschiedene Fenster geöffnet, auch die Win.ini. Die sysedit.exe wirst du noch öfters brauchen, wenn du die Beschreibungen weiter aufmerksam liest.
System.ini
Eine Eintragung erfolgt unter dem Paramter "shell=". Vorsicht ! Hier ist schon eine Eintragung Namens Explorer.exe enthalten. - Die nicht löschen !!! Es könnten jedoch hinter Explorer.exe noch weitere Eintragungen erfolgen. Die System.ini findest du auf dem gleichen Weg, wie unter Win.ini beschrieben. Hier erfolgen jedoch eher seltener entsprechende Eintragungen.
autoexec.bat
Hier solltest du ebenfalls mit dem Löschen von Eintragungen vorsichtig sein. Denn auch hier tragen sich einige harmlose Programme ein. Trojaner nutzen diese Möglichkeit jedoch so gut wie gar nicht. Da jedoch diese Möglichkeit ebenfalls gegeben ist, erwähne ich diese auch. Die Autoexe kannst du auch in der Sysedit.exe (Beschreibung unter Win.ini) einsehen und bearbeiten.
Config.sys
Einige, wenige Trojaner tarnen sich auch als Gerätetreiber auf Windows 95/98 Systemen. Diese Trojaner lassen sich jedoch schwer realisieren und sind daher zum Glück noch recht selten. Die Config.sys ist ebenfalls mittels der Sysedit.exe auffindbar. Es sollte Ausschau nach Eintragungen unter: Device=, Install=, Devicehigh=, Installhigh= und Shell= gehalten werden. Auch hier gilt natürlich, ein Eintrag muss nicht unbedingt ein Trojaner bedeuten. Also nicht wahllos löschen oder Änderungen vornehmen.
Winboot.ini
Im Normalfall ist diese Datei nicht vorhanden, ersetzt jedoch im Fall der Fälle die Msdos.sys. Nur unter Windows 95/98.
Winstart.bat
Wenn hier eine Eintragung erkennbar ist, bedeutet dieses in der Regel folgendes: Eine Befehlzeile veranlasst das Kopieren einer Datei, welche vor dem letzten Systemstart gelöscht wurde. Bisher sind kaum Trojaner bekannt, die diesen Weg nutzen. Ein Beispiel hierfür wäre jedoch "DerSpäher 2".
Wininit.ini
Nicht zu verwechseln mit der Win.ini ! Die Wininit.ini muss sich im übrigen auch nicht auf jedem System befinden. Jedoch kann hier einmalig zwecks Autorun (also Ausführung einer Datei bzw. eines Trojaners) ein Eintrag erfolgen, welcher danach sogar gelöscht wird. Im übrigen heisst die Wininit.ini im ausgeführten (geladenen) Windows-System Winit.bak Die Wininit.ini nutzen auch mitunter Virenscanner zur Entfernung von Trojanern oder auch manchen Viren.
progman.ini
Das ist quasi noch die "alte" win.ini von Windows 3.x, welche sogar ebenfalls noch bei Start verarbeitet wird.
Win.bat
In Normalfall entweder gar nicht vorhanden oder leer.
Cmdinit.bat
Diese Autostartmethode ist nur unter Windows ME möglich.
Dosstart.bat
Ebenfalls Programmaufrufe möglich, nur unter Windows 95/98
control.ini
Auch hier ist theoretisch möglich, einen Eintrag zwecks Autorun zu tätigen. Bisher ist mir jedoch noch kein Fall bekannt, wo sich eine Trojaner hier eingetragen hat. Die Möglichkeiten wären jedoch sicherlich machbar.
Msdos.sys
Systempfade können verbogen werden, daher auch Autostarts möglich.
Autoexec.net und Config.nt
Nur unter den Systemen Windows 2000 und XP auffindbar.
<< Viren- oder Trojanerscanner |
Windows-Registrierung >> |
(tt) 28.04.2003
