Erkennung Trojanischer Pferde
Oft erweist es sich für den weniger versierten Anwender als recht schwierig eine Trojaner-Infektion festzustellen. Daher habe ich die Erklärungen in verschiedene Bereiche bzw. "Erkennungsmethoden" aufgegliedert.
Methode "Viren- oder Trojanerscanner"
Zunächst sollte der Anwender sich einen Virenscanner kaufen oder aus dem Internet herunterladen. Sehr viele Hersteller bieten eine in den Funktionen uneingeschränkte Testversion zum ausprobieren an. Eine Liste vonHerstellern (WWW)(unten auf der Seite) und Softwaretest(WWW) ist auf diesem Webangebot enthalten.
Nachdem die Software installiert wurde, sollte unbedingt ein Update per Internet durchgeführt werden. Schließlich werden täglich neue Trojanische Pferde durch die Autoren herausgegeben. Bevor der Anwender nun zum ersten mal sein System nach Viren und Trojanern suchen lässt, sind noch ein paar wichtige Einstellungen an der Antivirensoftware zu tätigen (soweit noch nicht durch den Hersteller der Software geschehen). Das Programm ist dahingehend zu konfigurieren, indem beim Scan ALLE Dateien untersucht werden. Meist ist diese Funktion nicht durch den Hersteller voreingestellt. Außerdem sollte das Programm in keinem Fall bei einer festgestellten Infektion sofort eine Säuberung oder Entfernung der infizierten Dateien vornehmen. Das ist sehr wichtig, da einige Trojaner den Virenscannern erhebliche Probleme bei der Entfernung bereiten bzw. diese sehr fehlerhaft entfernt werden. Das kann schnell zur Folge haben, dass ein System nicht mehr nutzbar und/oder unter Umständen kaum noch reparabel ist. Zum Beispiel der Trojaner SubSeven in neueren Version bereitet hier sehr oft erhebliche Probleme. Eine Entfernung zu SubSeven und worauf zu achten ist, kann hier (WWW) und hier (WWW) nachgelesen werden.
Wenn der Virenscanner eine Infektion feststellt, sollte sofort ein Fachmann (z.B. Support der jeweiligen Softwarefirma) zu Rate gezogen werden. Natürlich stehen auch auf diesen Seiten zur manuellen Entfernung von Trojanern entsprechende Informationen (WWW) bereit.
Sollte die AntiViren Software keine Infektionen feststellen, so heißt das jedoch noch lange nicht, dass ein System auch wirklich Trojanerfrei ist. Wie man weiter vorgeht, wird in den nächsten Kapiteln erläutert.
Methode "Autorun-Einträge überprüfen"
In der Regel macht ein Trojaner nur dann "Sinn", wenn er sich auf dem System dahingehend installiert, indem dieser bei jedem Systemstart ausgeführt wird. Das bedeutet: Der Trojaner läuft ständig im Hintergrund des Systems mit und "wartet" nur darauf bis der User eine Onlineverbindung aufbaut.
Hier erläutere ich die wichtigsten Möglichkeiten, wo der Trojaner eine Veränderung bzw. Eintragung vornimmt, damit dieser stets ausgeführt wird.
Autostart-Ordner
Diese Möglichkeit wird von Trojanern sehr selten genutzt. Grund: Die Entdeckungsgefahr ist zu hoch. Den Autostart-Ordner findest du z.B. wie folgt: Windows-Start - Suchen - Dateien/Ordner - Autostart eingeben - Der Ordner wird angezeigt - Doppelklicken - Jetzt siehst du alle Einträge.
Win.ini
Eine vor allem früher sehr häufig anzutreffende Methode ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht ! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrolle also mit dem unteren Balken einfach mal nach rechts (falls denn ein solcher Balken vorhanden sein sollte). Den besten Zugriff auf die Win.ini hast du, indem du auf Windows-Start gehst - Ausführen - sysedit.exe eingeben - OK klicken.
Nun werden verschiedene Fenster geöffnet, auch die Win.ini. Die sysedit.exe wirst du noch öfters brauchen, wenn du die Beschreibungen weiter aufmerksam liest.
System.ini
Eine Eintragung erfolgt unter dem Parameter "shell=". Vorsicht ! Hier ist schon eine Eintragung Namens Explorer.exe enthalten. - Die nicht löschen !!! Es könnten jedoch hinter Explorer.exe noch weitere Eintragungen erfolgen. Die System.ini findest du auf dem gleichen Weg, wie unter Win.ini beschrieben. Hier erfolgen jedoch eher seltener entsprechende Eintragungen.
Autoexec.bat
Hier solltest du ebenfalls mit dem Löschen von Eintragungen vorsichtig sein. Denn auch hier tragen sich einige harmlose Programme ein. Trojaner nutzen diese Möglichkeit jedoch so gut wie gar nicht. Da jedoch diese Möglichkeit ebenfalls gegeben ist, erwähne ich diese auch. Die Autoexec.bat kannst du auch in der Sysedit.exe (Beschreibung unter Win.ini) einsehen und bearbeiten.
Config.sys
Einige, wenige Trojaner tarnen sich auch als Gerätetreiber auf Windows 95/98 Systemen. Diese Trojaner lassen sich jedoch schwer realisieren und sind daher zum Glück noch recht selten. Die Config.sys ist ebenfalls mittels der Sysedit.exe auffindbar.
Winstart.bat
Wenn hier eine Eintragung erkennbar ist, bedeutet dieses in der Regel folgendes: Eine Befehlzeile veranlasst das Kopieren einer Datei, welche vor dem letzten Systemstart gelöscht wurde. Bisher sind kaum Trojaner bekannt, die diesen Weg nutzen. Ein Beispiel hierfür wäre jedoch "DerSpäher 2". (WWW)
Wininit.ini
Nicht zu verwechseln mit der Win.ini ! Die Wininit.ini muss sich im übrigen auch nicht auf jedem System befinden. Jedoch kann hier einmalig zwecks Autorun (also Ausführung einer Datei bzw. eines Trojaners) ein Eintrag erfolgen, welcher danach sogar gelöscht wird. Im übrigen heißt die Wininit.ini im ausgeführten (geladenen) Windows-System Winit.bak
progman.ini
Das ist quasi noch die "alte" win.ini von Windows 3.x, welche sogar ebenfalls noch bei Start verarbeitet wird.
control.ini
Auch hier ist theoretisch möglich, einen Eintrag zwecks Autorun zu tätigen. Bisher ist mir jedoch noch kein Fall bekannt, wo sich eine Trojaner hier eingetragen hat. Die Möglichkeiten wären jedoch sicherlich machbar.
Windows-Registrierung
Zuerst rufst du die Registrierung deines Systems auf. - Diese kannst du u.a. in folgenden Schritten tun: Windows-Start - Ausführen - regedit eingeben - OK klicken. - Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet sich. Jedoch keine Angst, uns interessieren lediglich einige, wenige Pfade:
HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows ->CurrentVersion->Run HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->RunOnce
HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->RunServices
HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->RunServicesOnce
HKEY_CURRENT_USER->SOFTWARE->Microsoft->Windows->CurrentVersion->Run HKEY_CURRENT_USER->SOFTWARE->Microsoft->Windows->CurrentVersion->RunOnce
HKEY_CURRENT_USER->SOFTWARE->Microsoft->Windows->CurrentVersion->RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run (diese Eintragung gilt nur für Mehrnutzersysteme).
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
Die sogenannte Unknown-Methode (auch Windows-Registrierung)
Auch hier wird die Windows-Registrierung zwecks Autorun genutzt. Unter diesem Pfad ist folgender Eintrag zu finden:
HKEY_CLASSES_ROOT\exefile\shell\open\command\"%1" %*
Vor der Zeichenkette "%1" %* könnte noch ein Programm eingetragen worden sein. Standardmäßig ist jedoch nur die hier genannte Eintragung gegeben. Sollte hier somit noch eine ausführbare Datei (exe, com etc.) enthalten sein, so könnte sich ein Trojanisches Pferd dahinter verbergen. Bei Trojanerverdacht in keinem Fall den gesamten Eintrag entfernen, sondern nur das Programm ! Siehe auch Beschreibung zu SubSeven 2.1 (WWW)
Tarnung als Gerätetreiber
Ein Trojanisches Pferd kann sich auch als Gerätetreiber tarnen, welches jedoch noch verhältnismäßig selten der Fall ist. Auch erweist sich die genaue Identifizierung als nicht gerade einfach. Schließlich kann sich dahinter auch ein harmloser Gerätetreiber verbergen, der bei Löschung mehr Schaden als Nutzen hervorbringen kann. Auch hier erfolgt eine Eintragung in der Registrierung jedoch unter einem "ungewohntem" Pfad:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\INTLD
Zur Identifizierung sollte jedoch zumindest ein Process Viewer (WWW) zur Hilfe genommen werden, der unter Umständen eine der im o.g. Pfad Eintragungen als laufenden Process anzeigt. Aber auch Windows liefert von Haus aus ein sehr brauchbares Programm "Dr. Watson" mit. Im Zweifelsfall in jedem Fall einen Fachmann zu Rate ziehen (welches natürlich in allen beschriebenen Fällen dieser Rubrik gilt).
Das Trojanische Pferd "Donald Dick" macht sich diese Autorun-Methode zu nutzen. (siehe Trojaner-Archiv (WWW) unter "Donald Dick...")
Ersetzen der Datei runonce.exe
Bisher mir selber nur bei dem Trojaner Schoolbus bekannt. Die Original Windows runonce.exe wird durch ein modifizierte Datei ersetzt, die somit eine Autorun-Methode ermöglicht. Die Original "runonce.exe" ist 11264 Bytes groß. Sollte also eine runonce.exe gefunden werden, die eine andere Größe aufweist, so könnte sich auch hier ein Trojanisches Pferd verbergen. Ich betone KÖNNTE ! Zur weiteren Erklärung dieser Methode, empfehle ich, die Beschreibung des Trojaners Schoolbus 2.0 (WWW) zu lesen.
Die in der Registrierung genannten Pfade werden als Ordner dargestellt und erreicht man mit jeweiligen Doppelklicks auf den Icons. Auch hier ist wieder Vorsicht geboten, welche Einträge gelöscht werden. Die Möglichkeit zwecks Start beim Systemstart wird von sehr vielen harmlosen Programmen (z.B. Deinstaller, Virenscannern, BackUp-Tools etc.), jedoch auch Trojanischen Pferden genutzt. Es gibt noch zahlreiche andere Eintragungsmöglichkeiten zwecks Autorun in der Registrierung. Diese werden jedoch (zum Glück) nur selten von Trojanischen Pferden genutzt.
Hilfreich ist auch das Windowseigene Programm "msconfigsys". Gehe also einfach auf den Start-Button (unten links Desktop), dann auf "Ausführen" und gibt msconfigsys ein. Über dieses Programm kannst du viele der oben genannten Einträge überprüfen und bequem ändern.
Auch über "sysedit" findest du viele der o.g. Eintragungsmöglichkeiten. Gehe vor wie unter "msconfigsys", gib stattdessen jedoch sysedit ein. Es werden sich mehrere Fenster in Editorform öffnen.
Der Trojaner "Sockets de Troie" (WWW) kann nicht über die genannten Wege identifiziert und entfernt werden. - Dazu rate ich das Anti-Viren-Programm AVP (www.avp.at) (WWW) gegebenenfalls als Testversion herunterzuladen und das System danach zu scannen. AVP kann diesen Trojaner entfernen.
Methode "Laufende Prozesse überprüfen"
Häufig kommt man einem Trojaner schon auf die Schliche, indem man die sogenannten laufenden Prozesse überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überprüfen kann man dieses über verschiedene Wege:
Betätige die Tasten: AltGr + Strg + Entf. Nun erscheint eine Box, welche laufende Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meisten Trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" zu verstecken.
Windows liefert von Haus aus ein gutes Werkzeug zur Überprüfung aller laufenden Prozesse mit. Das Programm heißt "Dr. Watson". Dazu gehe auf das Windows-Startlogo (unten links im Desktop), dann auf "Ausführen" und gib drwatson ein. Nun wird das Programm aufgerufen und führt zunächst ein paar Analysen durch. Gehe auf den Menüpunkt "Ansicht" und wähle die Option "Erweiterte Ansicht". Für Anfänger erweist sich Dr. Watson jedoch als recht schwierig, da es wirklich gnadenlos alles anzeigt, was dein Windows so hergibt. Für Experten in jedem Fall eine sehr wertvolle Hilfe.
Wer es jedoch einfacher haben möchte, der kann sich aus dem Internet einen sogenannten "Process Viewer" herunterladen. Auf dieser Seite (WWW) sind entsprechende Links und andere Hilfsprogramme zu Analyse verfügbar.
Methode "Überprüfung der Ports mittels Netstat"
Da wie weiter oben beschrieben, die meisten Trojaner im Hintergrund auf eine Onlineverbindung "warten", belegen diese einen Port. Die Ports kann man mittels des Programms "netstat" überprüfen. Das Programm befindet sich von Haus aus auf einem Windows-System.
Rufe die DOS-Eingabeaufforderung auf und gib folgenden Befehl ein: netstat -a
Jedoch solltest du dieses nur offline durchführen indem keine Internetverbindung besteht. Noch besser ist es sogar, wenn du zuvor dein System nochmals neu startest, solltest du schon eine Onlineverbindung während dieser Windows-Sitzung gehabt haben.
Hier ein Beispiel, welche Meldung Netstat ausgeben könnte:
Active Connections
Proto Local Address Foreign Address State
TCP _:27374 0.0.0.0:45178 LISTENING
UDP _:27374 *:*
Wie man hier sehen kann, wird der Port 27374 "belegt". Anhand der Portliste (WWW) könnte man daraus schließen, dass ein System mit dem SubSeven Trojaner neuerer Version infiziert ist. Zumindest ist es ein recht sicheres Anzeichen dafür. Jedoch möchte ich noch erwähnen, dass man anhand des belegten Ports und der Portliste nie zu 100 % bestimmen kann, um welchen Trojaner es sich genau handelt. Sehr viele Trojaner bieten die Möglichkeit einen Port selber festzulegen.
Die Überprüfung mittels einer einzigen hier genannten Methode ist nicht unbedingt empfehlenswert. Geht der Anwender jedoch alle hier genannten Methode nacheinander durch, wird man dem Trojaner sicherlich auf die Schliche kommen können.
Wichtig ! - Bevor du irgendwelche Änderungen an deinem System gemäss den hier genannten Möglichkeiten tätigst, lese bitte auch die anderen Seiten meiner Trojaner-Rubrik. Du solltest dir immer merken, was du auf deinem System in letzter Zeit installiert hast. - Auch hat es sich bewährt, immer wieder die genannten Möglichkeiten anzuschauen. - So ist ausreichend gewährleistet, dass kein wichtiges Programm "verstümmelt" wird.
Weniger erfahrende Anwender sollten in jedem Fall einen Fachmann zu Rate ziehen bevor in Panik irgendwelche Dinge entfernt werden. Falsche Handhabungen können unter Umständen das gesamte System außer Gefecht setzen !!!
Auch sollten die Berichte unter der Rubrik "Reporte" (WWW) beachtet und gelesen werden. Hier sind ebenfalls viele sehr nützliche Tipps und Dokumentationen enthalten.
