Die Erkennung Trojanischer Pferde
HINWEIS!
In diesem Artikel wird nachfolgend beschrieben, wie man vor mehr als einem Jahrzehnt Trojanische Pferde beseitigte. Wie man heute mit Trojanern, Viren, Würmern und anderer Malware fertig wird, erfahren Sie hier im großen Trojaner-Info Malware-Special.
Zuerst rufst du die Registrierung deines Systems auf. - Diese kannst du u.a. in folgenden Schritten tun: Windows-Start - Ausführen - regedit eingeben - OK klicken. - Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet sich. Jedoch keine Angst, uns interessieren lediglich einige, wenige Pfade:
Kann Pfad zu einer POL-Datei enthalten, die mit Poledit bearbeitet wird und wiederum einen Autostart enthält. Der Eintrag im zweiten, genannten Pfad muss auf "0" stehen, wenn dieser Weg nicht genutzt wird.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update\NetworkPath\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update\UpdateMode\
Ruft eigentlich folgenden Paramater auf, kann aber auch missbraucht werden: %windir%\system32\userinit.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit\
Andere Autostarteinträge:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run\
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Load\
HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts\
HKEY_CLASSES_ROOT\exefile\shell\open\command\ @="%1" %*"
HKEY_CLASSES_ROOT\comfile\shell\open\command\ @="\"%1\" %*"
HKEY_CLASSES_ROOT\batfile\shell\open\command\ @="\"%1\" %*"
HKEY_CLASSES_ROOT\htafile\Shell\Open\Command\ @="\"%1\" %*"
HKEY_CLASSES_ROOT\piffile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command\ @="\"%1\" %*"
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\ @="\"%1\" %*"
Vor der Zeichenkette "%1" %* könnte noch ein Programm eingetragen worden sein. Standartmaessig ist jedoch nur die hier genannte Eintragung gegeben. Sollte hier somit noch eine ausführbare Datei (exe, com etc.) enthalten sein, so könnte sich ein Trojanisches Pferd dahinter verbergen. Bei Trojanerverdacht in keinem Fall den gesamten Eintrag entfernen, sondern nur das Programm ! Siehe auch Beschreibung zu SubSeven 2.1
Eine weitere Möglichkeit bei ICQ-Usern besteht darin:
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test\ "Path"="test.exe" "Startup"="c:\\test" "Parameters"="" "Enable"="Yes"
Browser Helper Objekts
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\
Auch der eigentliche Autostartordner kann mittels der Registry anders festgelegt werden. Auch hier lohnt sich ein Blick, wenn sonst nichts zu finden ist. Das bedeutet so viel, man könnte einen ganz anderen Autostart-Ordner über diesen Registry-Pfad festlegen und ungewünschte Dateien starten lassen:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Startup\
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Startup\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\CommonStartup\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\ComonStartup\
Registry Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
Der Default-Wert lautet: "Trojaner"\StubPath - C:\WINDOWS\SYSTEM\"trojaner".exe
Registry Common Startup Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\User shell folders.
Der Eintrag heisst: C:\WINDOWS\SYSTEM\dv\ (wobei "dv" auch abweichen könnte). Unter diesem Pfad befindet sich auch der Server, sowie unter den gegebenen Umständen in einem weiteren Verzeichnis.
Tarnung als Gerätetreiber
Ein Trojanisches Pferd kann sich auch als Gerätetreiber tarnen, welches jedoch noch verhältnismässig selten der Fall ist. Auch erweist sich die genaue Identifizierung als nicht gerade einfach. Schliesslich kann sich dahinter auch ein harmloser Gerätetreiber verbergen, der bei Löschung mehr Schaden als Nutzen hervorbringen kann. Auch hier erfolgt eine Eintragung in der Registrierung jedoch unter einem "ungewohntem" Pfad:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\INTLD
Zur Identifizierung sollte jedoch zumindest ein Process Viewer zur Hilfe genommen werden, der unter Umständen eine der im o.g. Pfad Eintragungen als laufenden Process anzeigt. Aber auch Windows liefert von Haus aus ein sehr brauchbares Programm "Dr. Watson" mit. Im Zweifelsfall in jedem Fall einen Fachmann zu Rate ziehen (welches natürlich in allen beschriebenen Fällen dieser Rubrik gilt).
Das Trojanische Pferd "Donald Dick" macht sich diese Autorun-Methode zu nutzen. (siehe Trojaner-Archiv unter "Donald Dick...")
Die in der Registrierung genannten Pfade werden als Ordner dargestellt und erreicht man mit jeweiligen Doppelklicks auf den Icons. Auch hier ist wieder Vorsicht geboten, welche Einträge gelöscht werden. Die Möglichkeit zwecks Start beim Systemstart wird von sehr vielen harmlosen Programmen (z.B. Deinstaller, Virenscannern, BackUp-Tools etc.), jedoch auch Trojanischen Pferden genutzt. Es gibt noch zahlreiche andere Eintragungsmöglichkeiten zwecks Autorun in der Registrierung. Diese werden jedoch (zum Glück) nur selten von Trojanischen Pferden genutzt.
Hilfreich ist auch das Windowseigene Programm "msconfig". Gehe also einfach auf den Start-Button (unten links Desktop), dann auf "Ausführen" und gibt msconfig ein. Über dieses Programm kannst du viele der oben genannten Einträge überprüfen und bequem ändern.
Auch über "sysedit" findest du viele der o.g. Eintragungsmöglichkeiten. Gehe vor wie unter "msconfig", gib stattdessen jedoch sysedit ein. Es werden sich mehrere Fenster in Editorform öffnen.
Der Trojaner "Sockets de Troie" kann nicht über die genannten Wege identifiziert und entfernt werden. - Dazu rate ich das Anti-Viren-Programm Kaspersky Anti-Virus (http://www.datsec.de) gegebenfalls als Testversion herunterzuladen und das System danach zu scannen. Kaspersky Anti-Virus kann diesen Trojaner entfernen.
Methode über "Explorer.exe" auf Laufwerk C:\
Aufgrund eines Bugs in Windows, wird immer zunächst die "erste explorer.exe" ausgeführt (also in Verzeichnis C:\), bevor die eigentliche explorer.exe (in c:\windows\) gestartet wird. Die explorer.exe in c:\ bewirkt, dass ein Trojaner zunächst geladen wird, der sich im Verzeichnis c:\windows\system oder anderswo befindet.
Ersetzen der Datei runonce.exe
Bisher mir selber nur bei dem Trojaner Schoolbus bekannt. Die Original Windows runonce.exe wird durch ein modifizierte Datei ersetzt, die somit eine Autorun-Methode ermöglicht. Die Original "runonce.exe" ist unter Win95 11.264 Bytes und Win 98/ME 40.960 Bytes gross. Sollte also eine runonce.exe gefunden werden, die eine andere Grösse aufweist, so könnte sich auch hier ein Trojanisches Pferd verbergen. Ich betone KÖNNTE ! Zur weiteren Erklärung dieser Methode, empfehle ich, die Beschreibung des Trojaners Schoolbus 2.0 zu lesen.
Start über aktive Inhalte des Explorers
Active Desktop
C:\Winnt\Web\*.htt
C:\Windows\Web\*.htt
C:\Dokumente und Einstellungen \<Name des Benutzers>\Desktop als Webansicht
C:\Windows\Profiles\<Name des Benutzers>\Desktop als Webansicht
C:\Window\Desktop als Webansicht
<< Autorun-Einträge überprüfen |
Laufende Prozesse prüfen >> |
(tt) 28.04.2003
