Trojaner check
So erkennt man Trojaner auf einem System
Wie könnt ihr nun feststellen, ob das System bereits von einem trojanischen Pferd infiziert ist? Dieser Artikel soll zeigen, wie trojanische Pferde auf einem System erkannt und beseitigt werden. Für den ungeübten User erweist sich dies oft als sehr schwierig, da die Suche nach solchen Programmen meist Eingriffe ins System bzw. die Registry erfordert. Daher empfiehlt es sich, auf Programme, wie Virenscanner oder spezielle Anti-Trojaner-Tools, zurückzugreifen. Diese automatisieren das Aufspüren und Beseitigen und halten die Gefahren beim Beseitigen, das System zu beschädigen, recht gering. Grundsätzlich sollten diese Programme permanent auf jedem System installiert sein. Es erweist sich weiterhin als zwingend erforderlich, dass die Software ständig aktualisiert wird, denn schließlich werden täglich neue Trojaner entdeckt. Doch häufig lassen sich die Schädlinge auch von diesen Abwehr-Tools nicht entdecken, denn Hacker tarnen ihren Spionageserver so, dass diese trotz installiertem Virenscanner auf den Systemen arbeiten können.
AutoRun-Einträge
Ein Trojaner funktioniert nur dann, wenn er mit dem Systemstart ausgeführt wird. Das heißt, dass der Server ständig im Hintergrund des Systems laufen muss, um bei einer Onlineverbindung bereit zu sein, Befehle vom Client zu empfangen. Wie die Programmierer dies bewerkstelligen, ist von Trojaner zu Trojaner unterschiedlich, daher sollte man die Orte kennen, an denen Einträge solcher Art vorgenommen werden. Der Autostartordner ist eine der klassischen Methoden, gleichzeitig aber die mit der geringsten Kreativität. Hierbei wird eine Verknüpfung des Servers direkt in den Autostartordner des Startmenüs gelegt. Die Gefahr entdeckt zu werden, ist hierbei besonders groß, da dieser Ordner auch für den ungeübten Anwender leicht über "Start/Programme" zugänglich ist. Daher sehen Programmierer solcher Software in der Regel davon ab, diesen Weg zum automatischen Start zu wählen. Trotzdem schadet es nicht, wenn man ab und zu hineinzusehen, entweder über die Startleiste "Start/Programme/Autostart" oder über den Explorer. Bei früheren Trojanern, wie zum Beispiel NetBus, war es eine beliebte Methode, Einträge in die "Win.ini" zu schreiben, um den Server so zu starten. .Die Datei WIN.INI enthält Informationen über die Windows-Umgebung. Die WIN.ini wurde in erster Linie von älteren Windows Versionen für softwarerelevante Informationen benutzt. Trotzdem ist es angebracht, gelegentlich einen Blick in die "Win.ini" zu werfen. Gehe über "Start/Ausführen" und gieb in das Eingabefeld "sysedit.exe" ein. Hier sollte man auf Einträge hinter den Parametern "Load" und "Run" achten. Oft werden Trojaner so eingestellt, dass die Parameter mit zahlreichen Leerzeichen ausgepuffert sind, sodass diese nicht sofort ins Auge springen, sondern man erst einmal scrollen muss, um die Einträge zu sehen. Sollte man hinter "load" oder "run" Parameter finden, wie z.B. "Server.exe" oder "Explorer.exe", so sollten diese entfernt werden. Selbstverständlich variieren die Bezeichnungen der Parameter von Trojaner zu Trojaner. Deshalb sollte man hier mit einer gewissen Vorsicht herangehen, damit nicht unabsichtlich die wichtigen Einträge gelöscht werden.
Registry-Einträge
Auch in der Registry müssen sich viele Trojaner verewigen, um alle gewünschten Funktionen ausführen zu können. Um in die Registry zu gelangen, geht man über "Start/Ausführen" und ruft anschließend das Programm "regedit" auf. Interessant sind dabei folgende Einträge, die regelmäßig geprüft werden sollten:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOne\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Ist hier ein Schlüssel zu einer ausführbaren Datei enthalten, teilkann sich ein trojanisches Pferd dahinter verbergen. Vergleicht die Einträge mit denen aktueller Trojaner. Informationen über diese findet ihr zum Beispiel unter www.heise-security.de.
Grundsätzlich sollten die Registryeinträge gesichert werden, also in ein Verzeichnis exportiert werden, um ev. Änderungen wieder rückgängig machen zu können! Vor allem sollte man als Unwissender keinenfalls Änderungen vornehmen, wenn das System normal läuft.
Wer sich die Registry-Einträge unmittelbar nach ener neuen Windows Installation und immer wieder nach einzeln Software Installationen angesehen hat, kann die einzeln Registry`s leicht zuordnen. Bei einem Trojanerverdacht kann somit die Ursache meist auf einen Eintrag beschränken, weil dieser Erstmals vorkommt.
Beispiel für Trojaner:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\Ms Office=c:\windows\system\MsOffice.exe
zum Vergleich der wichtige Norten Antivirus Autoprotect Registry Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\ccApp=c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
Laufende Prozesse überprüfen
Häufig kommt man einem Trojaner schon auf die Schliche, indem man die so genannten "laufenden Prozesse" überprüft. Bei "laufenden Prozessen" handelt es sich um ausführbare Dateien, die gerade im System "mitlaufen". Überprüft werden können diese mit dem gleichzeitigen Drücken der Tasten "AltGr + Strg + Entf". Nun erscheint eine Box, welche die laufenden Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meisten trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" mit gefälschtem Prozessnamen zu verstecken.
Abschließend:
Ich weiß, das ist für die meisten von euch Schnee von gestern und diejenigen für die es interessant wäre, kommen sowieso erst
hier vorbei, wenn sie die Computerverwaltung ordendlich "konfiguriert" haben, und sich die Fehlermeldungen überschlagen,
aber ich wollte halt auch mal ein Tutorial schreiben !
|