Externe
Links (engl.):
Anti-Trojaner Software Vergleich -
Anti-Wurm Software Vergleich -
Anti-Dialer Software Vergleich -
Beste Firewall Software! Online Armor Personal Firewall -
Anti-Malware Testberichte
Gefahren des Internets
Trojanische Pferde im Detail
Viel zu oft werden Computerbesitzer ahnungslos zu Opfern von Angreifern, die
aus Spaß oder mit gezielter Absicht mit Hilfe von Trojanischen Pferden in
Rechner eindringen. Dieser Artikel zeigt, was mit Trojanern möglich ist, und
wie man sich am besten vor ihnen schützt.
Warum der Name “Trojanisches Pferd”?
Trojaner, Backdoors & Viren?
Ablauf einer Trojaner-Infektion
Wie sind Trojaner aufgebaut?
Arbeitsweise eines Trojaners
Trojaner-Funktionen (Beispiel)
Erweiterte Funktionen
Abhilfe
Anti-Trojaner Tools
Firewalls
Manueller Schutz vor Trojanern
Der Anwender ist beim Surfen im Internet sehr großen Risiken ausgesetzt. Kaum
jemand ist sich diesen jedoch auch wirklich bewusst. In den Medien ist oftmals
die Rede von Sicherheitslücken technischer Art in verschiedenen Programmen oder
Diensten. Das größte Sicherheitsproblem ist jedoch meist der Anwender der den
PC bedient.
Computersysteme sind in ihrer Komplexität für den Laien heutzutage kaum noch
überschaubar. Gerade daher wird es immer wichtiger, zwischen kleinen
Problemchen und echten Gefahren unterscheiden zu können. Eine dieser echten
Gefahren sind Trojanische Pferde, oftmals auch nur kurz „Trojaner“ genannt.
Kurz gesagt, ein Trojaner ist ein Programm, das sich als etwas anderes ausgibt,
als es tatsächlich ist.
Warum der Name „Trojanisches Pferd“?
Ein wenig zur Vorgeschichte: Eventuell erinnern Sie sich an die Stadt Troja aus
dem Geschichtsunterricht. In der historischen Geschichte geht es um einen
jahrelangen Krieg zwischen Griechen und der Festung Troja. Die Stadtmauern
waren für die Griechen über mehr als 10 Jahre lang unbezwingbar. Dann täuschten
Sie einen Rückzug vor und hinterließen ein riesiges hölzernes Pferd. Die Bürger
von Troja sahen dies als Geschenk an und brachten es in ihre Stadt. In der
Nacht jedoch entpuppte sich das Pferd als Transporter für griechische Soldaten,
die dann für die nachfolgenden Truppen die Stadttore öffneten. Die Griechen
konnten dadurch den Krieg gewinnen und die Stadt einnehmen.
Nach dem gleichen Prinzip funktionieren moderne Trojanische Pferde. Jemand
macht Ihnen ein Geschenk, welches jedoch einen gefährlichen Inhalt mit sich
bringt, von dem Sie nichts ahnen.
Trojaner, Backdoors & Viren?
Sie werden im Internet häufig die Bezeichnung Backdoor für Trojaner finden.
Sicherheitsexperten definieren den Begriff „Trojaner“ mit Programmen, die etwas
anderes tun, als sie vorgeben zu tun. Das können zum Beispiel Programmdateien
sein, die als Spiel deklariert sind, in Wirklichkeit jedoch eine
Schadensfunktion am PC ausführen. Als „Backdoor“ werden im Allgemeinen Trojaner
bezeichnet, die eine Hintertür im Betriebssystem öffnen, über die Angreifer
eindringen können. Eine weitere Bezeichnung ist auch „RAT“ (Remote
Administration Tool). Backdoors sind heute die am weitesten verbreiteten
Trojaner.
Trojaner sind entgegen weitläufigen Meinungen definitiv keine Viren oder
Würmer. Viren und Würmer haben die Eigenschaft, dass sie sich selbständig
weiterverbreiten können indem sie entweder fremde Dateien durch Manipulation
"infizieren" oder aber sich selbstständig von einem auf den anderen Rechner
kopieren. Trojaner besitzen solche Verbreitungsmechanismen nicht. Jedoch gibt
es bereits Wurm-Viren-Trojaner Kreuzungen (soganannte Hybride) die zusätzlich
zu ihrer Schadensfunktion Trojaner im System installieren können.
Ablauf einer Trojaner-Infektion
Es gibt verschiedene Möglichkeiten für Trojaner, einen Computer zu befallen. Bei
fast allen Trojanern ist das Zutun eines Anwenders für eine Aktivierung
erforderlich. Das heißt, die Programmdatei muss mindestens einmal manuell
gestartet werden, um gefährlich zu werden. Es gibt jedoch auch schon Trojaner,
die von Wurm-Viren automatisch installiert werden, ohne dass der Anwender etwas
davon erfährt.
Üblicherweise läuft eine Infektion nach folgendem Schema ab:
1. Angreifer schickt den Trojaner
Da ein Trojaner immer eine ausführbare Programmdatei (z.B. .EXE) ist, kann
dieser leicht auf verschiedensten Transportwegen zum Opfer gelangen. Dies kann
zum Beispiel als Anhang in einem Email geschehen. Der Email-Text ist meist
irreführend und fordert den Anwender zum Starten der angehängten Programmdatei
auf. Ebenfalls zur Verbreitung genutzt werden oftmals auch Instant-Messenger
Programme wie MS-Messenger, ICQ, AIM oder andere. Eine relativ neue Möglichkeit
stellen Filesharing-Dienste dar. Trojaner werden damit als Musikdateien getarnt
in Umlauf gebracht.
Abbildung 1: Email-Anhang
Ein Hinweis an dieser Stelle: Durch das Empfangen einer Trojanerdatei allein
entsteht noch keine Gefahr. So lange ein Trojaner inaktiv auf der Festplatte
des Computers liegt, geht absolut keine Gefahr davon aus.
2. Empfänger startet die erhaltene Datei
Damit ein Trojaner gefährlich werden kann, muss er einmal gestartet werden.
Meist genügt dafür ein Doppelklick auf die entsprechende Datei. Sobald dies
geschieht, installiert sich der Trojaner im System und setzt Autostarteinträge,
damit er bei jedem Systemstart automatisch geladen wird. Macher von Trojanern
haben mittlerweile sehr effektive Möglichkeiten entwickelt, damit die Datei
automatisch ausgeführt wird. Der Ort des Autostarteintrages ist oftmals
schwierig ausfindig zu machen. Die meistverwendeten Orte für Autostarteinträge
sind die Run-Sektionen der Systemregistrierung oder früher oft Dateien wie
autoexec.bat, win.ini, system.ini, etc. Moderne Trojaner gehen einen Schritt
weiter und schreiben sich als Plugins unterschiedlicher Programme oder als
Active-X Komponenten in die Registry. Viele Trojaner löschen außerdem die
ursprünglich gestartete Datei beim Starten, um beim Anwender Verwirrung
auszulösen.
Wie sind Trojaner aufgebaut?
Ein Backdoor-Trojaner besteht immer aus mindestens zwei Teilen. Dem gefährlichen
Trojaner-Server, manchmal auch Host genannt, und dem Trojaner-Client, über den
sich ein Angreifer mit dem Server verbindet. Sobald ein Server installiert
wird, öffnet dieser einen Port (Kanal) zur Kommunikation übers Internet. Über
den offenen Port kann sich dann ein Angreifer mit dem Opfer-PC verbinden und
seine schädlichen Aktionen beginnen.
Die einzige Information, die der Angreifer benötigt, ist die IP-Adresse seines
Opfers. Ein Weg, diese ausfindig zu machen, ist, sich vom Opfer zum Beispiel
eine Email schicken zu lassen. Die IP-Adresse kann im Email-Header ausgelesen
werden. Auch mittels Netstat kann die IP abgefragt werden, wenn eine
Instant-Message über eine Direktverbindung empfangen wird.
Angreifer, die nur aus Spaß ohne ein bestimmtes Angriffsziel Trojaner
verwenden, nutzen auch Portscanner, mit denen ganze Netzwerkbereiche nach
offenen Trojaner-Ports durchsucht werden können. Trojaner verwenden
unterschiedliche Ports damit sie nicht sofort erkannt werden. Bei vielen
Servern kann der Angreifer den verwendeten Port auch manuell ändern, bei
manchen sogar im laufenden Betrieb.
Abbildung 2: Portscanner
Arbeitsweise eines Trojaners
Der Trojaner-Server für den Client ist eine Schnittstelle zur Betriebssystem-API
(Application Programming Interface) des Opfer-Computers. Der Server empfängt
vom Client Anweisungen, in denen definiert ist was er tun und zurückgeben soll.
Je nach Komplexität des Servers kann dieser mehr oder weniger Funktionen
ausführen. Meistgenutzte Funktionen sind das Ausspähen von Passwörtern und
geheimen Dokumenten.
Abbildung 3: Schnittstelle zur API
Trojaner-Funktionen (Beispiel)
Die folgenden Screenshots sind vom Trojaner „NET DEVIL“, Version 1.5.
Ordner und Dateien durchsuchen
Eine Standardfunktion bei Trojanern. Damit kann der Angreifer den PC seines
Opfers nach bestimmten Dateien durchsuchen und diese anschließend auf den
eigenen PC übertragen. Ebenso kann der Angreifer Dateien auf den Opfer-PC
laden. Der Angreifer hat meistens im Client-Programm die gesamte Ordnerstruktur
abgebildet und kann dort verschiedene Funktionen ausführen (Ordner und Dateien
erzeugen, verändern und löschen, etc.).
Abbildung 4: Dateimanager
Passwörter ausspähen
Viele Trojaner haben eingebaute Routinen, um im System gespeicherte Passwörter
abzufragen. Bei Windows 9x gestaltet sich dies als besonders einfach, da viele
Passwörter in einem System-Cache gespeichert werden. Darunter fallen z.B.
Passwörter von Wählverbindungen oder Email-Passwörter.
Abbildung 5: Passwörter
Prozesse anzeigen
Diese Funktion gleicht dem Task-Manager von Windows NT/2000/XP. Es können alle
gestarteten Programmtasks angezeigt und auch auf Wunsch terminiert werden.
Abbildung 6: Prozesse
Fenster abfragen
Damit kann sich ein Angreifer einen Überblick verschaffen, welche Fenster auf
dem Opfer-PC geöffnet sind. Sichtbare aber auch unsichtbare Fenster können
damit geschlossen werden (z.B. Programme im System-Tray). Dem Angreifer stehen
unterschiedliche Funktionen zur Verfügung. Er kann Fenster einfrieren, den
Schließen-Button deaktivieren, den Fenstertitel verändern, den Focus auf andere
Fenster legen und eine Textsequenz an das Fenster schicken.
Abbildung 7: Fenster
Chat mit dem Opfer
Damit kann der Angreifer einen Chat mit dem Opfer starten. Diese auffällige
Funktion versetzt jeden unerfahrenen PC-Besitzer in Angst, da dieser nicht
weiß, wer sich hier mit ihm unterhalten will.
Abbildung 8: Chat
Webcam fernsteuern
Viele private User verfügen bereits über eine Webcam. Auch
wenn diese nicht gerade vom Besitzer verwendet wird, kann sie der Angreifer
nutzen, um sein Opfer zu beobachten. Das Opfer merkt davon nichts. Eine Webcam
bietet die maximale Überwachung des Opfers.
Abbildung 9: Webcam
Screenshots erstellen
Damit der Angreifer genau sehen kann, was sein Opfer gerade auf dem PC macht,
kann er ein Bildschirmfoto erstellen. Die Screenshots können dann gesondert
abgespeichert werden.
Abbildung 10: Screenshot
Keylogger
Als Keylogger bezeichnet man eine Funktion, die alle Tastenanschläge
aufzeichnen kann. Damit lassen sich zum Beispiel Passwörter, die der Benutzer
eintippt, abfangen.
Abbildung 11: Keylogger
Systemregistrierung editieren
Dem Angreifer sind in seinen Möglichkeiten kaum Grenzen gesetzt. Er kann auch
die Registry editieren. Es lassen sich auch neue Sektionen und Werte anlegen.
Praktisch um z.B. Autostarteinträge für den Trojaner-Server zu verändern oder
andere Programm beim Systemstart automatisch starten zu lassen.
Abbildung 12: Registry-Editor
Plugins
Einige weit verbreitete Trojaner-Server haben eine Plugin-Schnittstelle. Damit
können sich Angreifer den Server so zusammenstellen, wie sie ihn benötigen und
selbst Plugins für den Trojaner entwickeln. Der Kreativität im Entwurf neuer
Schadensroutinen sind hier keine Grenzen gesetzt.
Erweiterte Features
Versteckspiel
Moderne Trojaner wie zum Beispiel Optix können sich auf dem befallenen PC sehr
gut verstecken. Sie manipulieren dazu die Windows-API Aufrufe, die für die
Anzeige der Dateien im Explorer oder in der Registry zuständig sind. Der
Benutzer hat dann keine Möglichkeit mehr, den Trojaner manuell zu finden, da er
unsichtbar ist. Nur der Angreifer weiß wo sich der Server versteckt und wie man
ihn wieder abstellt.
Antivirus und Firewall deaktivieren
Ebenso eine häufig eingesetzte Methode unentdeckt zu bleiben ist es, alle
aktiven Antiviren-Programme oder Firewalls abzuschalten oder zu deaktivieren.
Der Trojaner-Server bleibt somit unerkannt auf dem PC.
Personal Firewalls umgehen
Eine bemerkenswerte Leistung erbringt der Trojaner "Assasin 2". Dieser kann
Desktop Firewalls umgehen. Das Funktionsprinzip ist relativ einfach erklärt.
Der Trojaner injiziert sein Kommunikationsmodul in ein Programm, das sicher
durch die Firewall darf. Der MS Internet Explorer eignet sich daher als Opfer
sehr gut. Assasin hijacked quasi den Browser um durch ihn nach draußen
verbinden zu können. Der PC-Benutzer merkt nichts davon und fühlt sich sicher.
Abhilfe
Es gibt mehrere Wege, seinen PC frei von Trojanern zu halten. Im Folgenden
werden drei Ansätze zur Sicherheit erläutert. Eines vorweg: Einen
100-prozentigen Schutz gegen Trojaner gibt es nicht. Mal abgesehen vom
generellen Verzicht auf das Internet bzw. Netzwerke allgemein.
Anti-Trojaner Tools
Der einfachste Weg für Anwender den PC „sauber“ zu halten, ist ein Anti-Trojaner
Programm zu installieren. Diese Programme durchsuchen alle Laufwerke nach
Trojaner-Dateien und bieten meist auch noch Hintergrundwächter an, die
aufpassen, dass sich Trojaner erst gar nicht einnisten können. Je nach Tool
wird auch die Registry nach Autostarteinträgen durchsucht und der Speicher
geprüft um einen maximalen Schutz zu gewährleisten. Auch Anti-Viren Tools
finden Trojaner, können diese jedoch meist nicht in der Qualität eines
speziellen Anti-Trojaner Tools entfernen. Manche Anti-Viren Programme scheitern
beim Versuch, eine Trojanerdatei zu bereinigen, da nach einer virenartigen
Signatur in Programmdateien gesucht wird, welche es aber in Trojanern nicht
gibt, da Trojaner wie jedes andere Programm aufgebaut sind. Gute Anti-Trojaner
Tools bieten ständig Updates der Trojanersignaturen-Datenbank an um immer die
aktuellsten Trojaner erkennen und beseitigen zu können. Einen Nachteil haben
solche Tools jedoch. Es können nur Trojaner erkannt werden, die den Entwicklern
bereits bekannt sind und sich in der Signaturen-Datenbank befinden.
Eine sehr empfehlenswerte Anti-Trojaner Software ist a² personal, welche mehr
als 20.000 verschiedene Trojanische Pferde erkennen und beseiten kann. Außerdem
bietet es noch einen erweiterten Hintergrundwächter, der das aktiv werden von
Trojanern unterbindet. Es gibt Ihnen außerdem die volle Kontrolle über alles
was im PC passiert.
Link: http://www.emsisoft.de/de
Firewalls
Hier muss man unterscheiden zwischen Firewalls, die durch Filterung der
übertragenen Daten einen Transfer von Trojanern verhindern, und solchen, die
die Kommunikation nach Außen für Trojaner unterbinden.
Erstere können zwar verhindern, dass sich ein Trojaner über das Internet in ein
lokales Netzwerk einschleicht indem z.B. bestimmte Dateitypen geblockt werden,
jedoch schützen diese nicht vor bereits aktiven Trojanern, die womöglich über
andere Wege als das Internet in das lokale Netzwerk gelangt sind.
Portblocker-Firewalls basieren auf dem Prinzip, dass erstmal alle
Kommunikationsports gesperrt, und dann stückweise die benötigten Ports geöffnet
werden. Die wichtigsten Ports die man nicht sperren sollte sind: 21 (FTP), 25
(SMTP), 80 (HTTP), 110 (POP3), etc. Je nachdem welche Dienste man im Internet
verwenden möchte, muss man jedoch Ports öffnen. Spätestens hier ist die Sache
mit der Sicherheit jedoch schon wieder relativ. Die Portnummern bei Trojaner
sind meist variabel, d.h. ein Angreifer kann den Trojaner z.B. so modifizieren,
dass Port 80 verwendet wird. Somit können Trojaner-Server auch durch Firewalls
hindurch mit dem Angreifer kommunizieren.
Portblocker-Firewalls können nur einen passiven Schutz gegen Trojaner bieten.
Wenn in einem lokalen Netzwerk auf einem PC ein Trojaner aktiv ist, kann er
trotzdem immer noch intern im LAN verwendet werden. In großen Firmennetzwerken
werden Trojaner immer häufiger von den eigenen Mitarbeitern eingesetzt, um
geschützte Daten auszuspionieren.
Proxy-Server oder NAT-Netzwerke schützen nicht vor Angreifern, die sich mit
einem installierten Trojaner hinter dem Proxy- bzw. NAT-Server verbinden
wollen. Auch Trojaner sind mittlerweile Proxy- und NAT-fähig und verbinden sich
selbständig nach außen zum Angreifer.
Manueller Schutz vor Trojanern
Natürlich können Sie jetzt auch sagen „Ich brauche keine Schutz-Tools, ich habe
mein System auch so im Griff“. Dies ist natürlich Ihr gutes Recht und es kann
Ihnen auch keiner dagegen reden. Jedoch sollten Sie dann die wichtigsten
Regeln, die Sicherheit im Umgang mit dem Internet betreffen, beherrschen.
1. Vorsicht mit Dateien
Öffnen Sie keine ausführbaren Dateien aus dem Internet, denn sie könnten
Trojaner enthalten. Dies gilt nicht nur für .EXE-Dateien. Es gibt eine ganze
Palette von Dateitypen die ebenso wie .EXE ausführbaren Code enthalten können.
Beispiele: .COM (DOS), .SCR (Bildschirmschoner), .DOC, .XLS, .MDB (VBA-Makros),
.VBS, .JS, .HTA, .WSF (Scripts), uvm. Vergewissern Sie sich, dass die Quellen
der Dateien vertrauenswürdig sind. Da gilt vor allem für Downloads.
Vorsicht bei Email-Anhängen! Auch wenn ein Email von einem vertrauten Absender
stammt, kann es einen Trojaner enthalten. Viele Email-Würmer verschicken
Trojaner automatisch an alle im Adressbuch befindlichen Email-Adressen, ohne
dass der Anwender etwas davon bemerkt.
2. Updates
Achten Sie darauf, dass Sie immer die aktuellsten Updates und Patches Ihrer
Programme installiert haben. Ansonsten kann es schnell vorkommen, dass Ihr PC
von Trojanern infiziert wird, ohne dass Sie etwas davon bemerken. Einige
Trojaner erreichten einen sehr großen Verbreitungsgrad durch das Ausnützen von
Sicherheitslücken im MS Internet Explorer und den MS Internet Information
Services.
3. Programme und Ports im Griff
Wenn Sie sich nicht auf Schutzsoftware verlassen möchten, sollten Sie alle
aktiven Programmtasks auf Ihrem PC kennen. Ihnen sollte sofort auffallen, wenn
ein Ihnen neues Programm läuft, welches einen Port offen hält. Mit dem
Kommandozeilen Tool „netstat“ können Sie alle aktiven Verbindungen abfragen und
anschließend diese manuell den aktiven Programmen zuordnen.
4. Autostarteinträge im Griff
Trojaner benötigen Autostarteinträge um beim Systemstart automatisch geladen zu
werden. Sie sollten alle Programme kennen, die an den folgenden Orten
automatisch geladen werden:
Startmenü – Autostart
Wird von Trojanern kaum genützt, da sehr leicht zu finden.
autoexec.bat
Kaum von Windows-Trojanern genützt, hauptsächlich für DOS-Programme verwendet.
config.sys
Ebenfalls hauptsächlich für DOS-Programme.
system.ini
Beim Eintrag „shell=“ können Programme geladen werden.
win.ini
Über die Sektionen „run=“ und „load=“ werden manchmal Trojaner geladen.
Systemregistrierung (Registry)
So gut wie alle neuen Trojaner nutzen die Registry um automatisch geladen zu
werden. Die wichtigsten Positionen sind:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
sowie
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Weitere Möglichkeiten sind durch Plugin- und Modul-Keys gegeben. Ein Trojaner
kann sich z.B. als Active-X Control in die Registry schreiben um beim Start
verschiedener Programme geladen zu werden. Eine andere trickreiche Möglichkeit
sind die Dateitypen-Registrierungen. Bei jedem Dateityp kann festgelegt werden,
mit welchem Programm eine solche Datei aufgerufen werden soll. Manche Trojaner
nutzen das um beim Aufruf jeglicher Dateien gestartet zu werden.
Um einen Trojaner sicher zu entfernen, beenden Sie zuerst den Programmtask,
löschen Sie dann die Programmdatei und entfernen Sie anschließend die
Autostarteinträge.
|
