Kleine und gemeine Tricks der Trojaner
In vielen Fällen sind es gerade die kleinen und einfachen Tricks, die den Anwender aufs Glatteis führen, eine Datei scheinbar gefahrlos zu öffnen.
Ebenso werden Tricks angewendet, damit der kritische Anwender sich kaum Gedanken macht, wenn er feststellt, auf seinem System befinden sich Dateien, die ständig im Hintergrund laufen.
Der Trick mit den Icons
Jedem Anwender dürften sicherlich die Icons von Dateiordnern und Archiven (z.B. ZIP, RAR etc.) bekannt sein. Im Normalfall wird bei einem Doppelklick mit der Mouse ledig ein neues Fenster (Ordner-Icons) bzw. die enthaltenen Dateien eines ZIP-Archives angezeigt. Somit wird scheinbar auch kein Programm ausgeführt.
Jedoch machen sich gewisse Leute genau diese Tatsache zu nutze, indem eine Exe-Datei (also in unserem Fall ein Trojanisches Pferd) das Icon eines Ordners oder ZIP-Archives verpasst bekommt. Somit wir der Anwender weitaus eher animiert, eine Datei auszuführen.
Dazu sei jedoch gesagt, ein Icon sagt niemals aus, um was für eine Datei es sich in Wirklichkeit handelt.
Damit der Anwender wirklich keinen Verdacht schöpft, erscheint sogar noch eine Fehlermeldung, dass ein ZIP-Archiv nicht geöffnet werden kann, da es fehlerhaft sei (siehe z.B. ExploreZipWorm (WWW) ). Der User ärgert sich, vergisst jedoch in der Regel die Sache schnell und wendet sich wieder anderen Tätigkeiten zu.
Was dabei jedoch nicht vermutet wurde, ist die Tatsache, dass soeben ein Trojanisches Pferd (also ein EXE-Datei) ausgeführt und auf dem System installiert wurde.
Ein Virenscanner, der diesen Trojaner nicht erkennt bzw. wenn die sogenannte Monitor - Funktion deaktiviert wurde, kann dann leider auch nicht mehr helfen bzw. davor schützen. Diese Gefahrenquelle ist auch darauf zurückzuführen, dass in den meisten Windows-Systemen die Dateiendungen (z.B. .exe, .dll, .zip usw.) ausgeblendet werden.
Abhilfe:
Die Anzeige der Dateiendungen in Windows aktivieren. So geht man dabei vor. Im geöffneten Fenster "Ansicht" auswählen, dann auf "Ordneroptionen", jetzt im Register "Ansicht" klicken. Gleich am Anfang ist die Option "Dateien und Ordner" zu finden, hier muss der Unterpunkt "Dateinamenerweiterungen bei bekannten Dateitypen ausblenden" deaktiviert werden (also KEIN Häkchen im Auswahlkästchen).
Wer dieses jedoch nicht möchte, kann natürlich auch stets vor dem Ausführen einer Datei zunächst mit der rechten Mousetaste die Eigenschaften auswählen und sieht ebenfalls die echte Dateiendung.
Der Trick mit anderen Schreibweisen bekannter Systemdateien
Ich möchte dieses anhand eine Beispieles erklären/verdeutlichen. Die Datei "Kernel32.dll" dürfte den meisten Anwender bekannt sein. Dieses Datei befindet sich im Pfad: c:\windows\system\.... und ist Bestandteil des Betriebssystems.
Durch eine andere Schreibweise kann der PC-Anwender auch hier hinters Licht geführt werden:
Die Original Kernel32.dll wird mit einem kleinen "L" geschrieben. Schreiben wir diese Datei doch einfach mal mit einem großen "i": KerneI32.dll. Je nach gewählter Schriftart fällt dieses entweder gar nicht oder nur nach genauem hinschauen auf. Also wird der Trojaner kerneI32dll.exe heißen. Somit kann sich diese Datei im gleichen Verzeichnis wie die bekannte Originaldatei befinden. Noch weniger fällt es auf, wenn unter Windows die bekannten Dateiendungen ausgeblendet werden (siehe weiter oben auf dieser Seite).
"Gerne" werden jedoch auch die Original-Dateinamen beibehalten und lediglich in einem anderen Verzeichnis installiert.
Abhilfe:
Anzeige der bekannten Dateiendungen aktivieren (siehe Abhilfe "Der Trick mit den Icons).
Bei Trojanerverdacht einfach mal die Windows-Suchfunktion nutzen und z.B. nur "kerne" eingeben und im Laufwerk "C" suchen lassen. Taucht nun zwei mal eine scheinbar gleiche Datei auf, könnte ein Trojaner auf dem System installiert sein.
Jedoch ACHTUNG ! Nicht einfach irgendwelche Dateien bei Verdacht löschen. Es ist für weniger erfahrende Anwender empfehlenswert, VOR der Löschung den Rat eines Fachmannes einzuholen !
