|
Trojanische Pferde
Das Spionagewerkzeug Nr. 1 im Internet
Die 3 bekanntesten Trojaner, von weit über 10000 !
Back Orifice, Netbus &
SubSeven
Spezielle Anti-Trojan Programme sind
zB.
Anti-Trojan (a²),
Ewido,
The Cleaner
oder
Tauscan
Back Orifice :
Eigenschaften und Funktionsweise:
- "Back Orifice" besteht wie seine Kumpanen aus einem Server- und
einem Clientprogramm. Es installiert sich selbst oder man hängt es einfach an
andere Dateien dran. (Dadurch merkt es niemand)
- BO wird in der Task-Liste nicht angezeigt und wird beim Hochfahren des
Rechners unter einem beliebigen Namen gestartet.
- Während der BO-Client auf allen möglichen Betriebsystemen lauffähig ist,
gibt es den BO-Server nur für Windows 95 oder höher.
"Back Orifice" hat u.a.
folgende Funktionalitäten:
*Tastaturrecorder
* Steuern von Multimedia-Funktionen, wie z.B. - Erstellen von
Screen-Shots - Bedienung angeschlossener cams etc. - Abspielen von Wav-Dateien
* Rebooten des Rechners
* Auslesen von Systeminformationen, wie z.B. - CPU - Windows Version -
Speicherauslastung - Passwords des Bildschirmschoners, - Netzwerkzugängen, Web
etc.
* Up- und Download von Files
* Aktivieren eines HTTP-Servers
* Manipulationen am Filesystem, wie z.B. - Kopieren - Löschen - Umbenennen -
Suchen
* Modifikation von Registry-Schlüsseln und - Werten, also: - Auflisten -
Erstellen - Löschen
* Prozeßkontrolle
* Netzwerkkontrolle (incl. Umleiten von Paketen!)
* Monitoring von Netzwerkpaketen
* Scannen eines Netzes nach aktiven BO-Servern
Desweiteren besitzt "Back
Orifice" ein PlugIn-Interface, über das ein beliebiger Programmcode
unentdeckt ausgeführt werden kann.
Über diese Schnittstelle ist BO jederzeit remote "updatebar".
Back Orifice
Erkennen und Beseitigen :
Manuelle
Entfernung :
Öffnet die Registry (geht auf
"Ausführen" und tippt "regedit" ein) und schaut unter dem
Schlüssel:
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
RunServices
Nach einem Eintrag
mit dem Namen ".exe" (Default-Filename bzw. mit einem Eintrag der Länge
von ca. 124,928 Bytes). Löscht diesen Eintrag; er bewirkt, daß der "Back
Orifice"-server bei jedem Windows Start automatisch aktiviert wird.
Das Programm selbst liegt im allgemeinen im Verzeichnis
"\Windows\System" und ist daran erkennbar, daß es kein Programm-Icon
hat und eine Größe von 122 KByte (oder geringfügig mehr) besitzt.
Netbus :
NetBus ist ein Trojanisches
Pferd ("Trojan Horse"), das in seiner Funktionalität "Back
Orifice" entspricht, also eine Hintertüre ("Back-door") öffnet,
über die man via Netzwerk unbemerkt auf den Rechner zugreifen kann. NetBus ist
allerdings wesentlich bedienerfreundlicher und mächtiger als Back Orifice. Es
wurde von dem Schweden Carl-Fredrik Neikter geschrieben, der die erste Version
Mitte März 1998 veröffentlichte. Derzeit liegt das Programm in etlichen
Versionen vor.
Eigenschaften
und Funktionsweise:
NetBus
besteht aus einem Client- ("netbus.exe") und einem Server-Programm (häufig:
"patch.exe", bei Version 1.5x: "SysEdit.exe"), welches zur
"Verwaltung" von Remote Rechnern eingesetzt werden kann.
Version 1.60 arbeitet über den fest eingestellten TCP/UDP-Port
"12345", ab Version 1.70 ist dieser variabel konfigurierbar.
NetBus hat
u.a. folgende Funktionalitäten:
* Aufzeichnen von Tastatureingaben
* Einschalten eines "Key-Clicks" und Abschalten bestimmter Zeichen
* Maus-Steuerung (incl. Vertauschen von rechter und linker Maustaste)
* Öffnen und Schließen der CD-ROM (ggf. in automatisch in Intervallen)
* Generieren von "Fehler-", "Warn-" und
"Info-Meldungen" (mit Anzeige der "Antwort")
* Starten von Anwendungen
* Anspringen von Webseiten (URLs)
* Erstellen eines Bildschirm-Dumps (als BMP oder JPG)
* Abspielen von wav-Dateien
* Aufnahmen über ein angeschlossenes Mikrophon
* Manipulationen am Filesystem, wie z.B. - Kopieren - Löschen
- Umbenennen - Suchen
* Up- und Download von Files
* Anzeigen und Schließen aller geöffneten Fenster
* Auslesen von Systeminformationen
* Rebooten des Rechners
* Redirekt von Ports und Rechner
* Redirekt der Ein-/ Ausgabe von Applikationen an einen definierbaren
TCP/UDP-Port
* Portscanner, der aktive NetBus-Ports auf über einen vorgegebenen Adreßbereich
findet
* Möglichkeit, Zugang auf vorgegebene Adressen zu beschränken
Der gefährlichere von beiden ist NetBus (wobei es gleich noch etwas
"dicker" kommt), da der NetBus-Server eine kleine (unbemerkte)
Mitteilung verschicken kann durch die man die IP des Opfers erhält.
Dieser Server ist auf die gleiche Weise wie der BO-Server zu entfernen. Er liegt
unter dem selben Schlüssel nur solltet Ihr hier nach Einträgen wie: "SySedit.exe"
oder "patch.exe" Ausschau halten.
SubSeven
:
SubSeven
steht Back Orifice und Netbus in keiner Weise nach, es besitzt noch einige
weitere bzw. erweiterte Funktionen:
*Adreßbuch
(Hacker
können sich ja auch nicht alles merken, es dient der Speicherung von
"Stammkunden" mit
einer Standleitung oder permanenten IP)
*Connection Manager:
IP-Scanner, Abfrage von Computer- und User-Name,
Systeminformationen (CPU Speed, HD Größe, aktuelle Auflösung,
Windows-Version etc.)
Benachrichtigung per ICQ, IRC und Email (über aktivierten Server)
*Keyboard Manager:
Loggen von Tastatureingaben (auch Off-Line!), ICQ Spy, Abschalten der
Tastatur, Schließen und Entfernen des Servers
*Fun Manager:
Mauszeiger verstecken,
Windows-Farben und -auflösung verändern,
Internet-Verbindung unterbrechen,
Ändern von Datum und Zeit,
Verstecken und Anzeigen der Desktop-Icons und des START-Buttons,
Ein- und Ausschalten des Monitors, Disable/ Enable von <CTRL+ALT+DEL>,
drehen des Monitorbildes, etc.
*Misc.Manager:
Anzeige von Passwords,
Capture einer angeschlossenen Kamera, Bildschirm-Capture,
Öffnen eines FTP-Servers!,
Editieren der Registry,
Ausdrucken von Text auf dem Drucker des "Opfers"
*File Manager:
Anzeigen und Löschen von Files und Verzeichnissen,
Ausführen von Anwendungen
Übertragen von Files (up- und download),
Setzen eines "Wallpapers"
*Windows Manager:
Anzeigen aller aktiven Fenster und Applikationen, Schließen von Windows
und Abschalten des "X" Buttons
*Options Menü:
Festlegen der Qualität des Full Screen Capture, Einstellen des
"Download Direcory"
*Edit Server:
Festlegen des Ports,
Einstellen der Autostart-Funktion (Registry, Win.ini etc.),
Ändern der File-Größe und des Server-Icons,
Anhängen eines beliebigen EXE-Files,
Einstellen des File-Namen nach der Installation,
Einstellen des Registry Key
Subseven installiert sich
normalerweise in:
- c:\Windows\win.ini
- c:\Windows\system.ini
- in der Registry :
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run ( oderRunServices )
Das manuelle entfernen ist
nur bedingt machbar, da die Dateien gern umbenannt werden! (SERVER.EXE
KERNEL16.DLL, RUNDLL16.COM, SYSTEMTRAYICON!.EXE, WINDOW.EXE, etc.)
unter Windows\System befindet eine weitere Datei mit dem Namen WATCHING.DLL
Es gibt zur Zeit
etliche, teilweise programmierbare und völlig unterschiedliche Trojaner. Sie
sind so gefährlich, weil sie nur schwer zu erkennen sind.
Das löschen der Serverdatei nach Aktivierung wird Euch nichts mehr bringen. Der
Trojaner hat sich dann bereits fest gebissen. Die Standard-Trojaner findet man
noch relativ leicht, aber es gibt Versionen bei denen es schwerer ist. Die
Hersteller von Virenscannern müssen, bevor sie was gegen den Trojaner
unternehmen können, zuerst einmal ein Musterexemplar besitzen. Es gibt einige
sehr zuverlässige Trojan-Scanner, jedoch erkennen sie nie alle.
Hier empfiehlt es sich eine gute Firewall einzurichten (richtig einrichten!) um
einen mehr oder weniger guten Schutz zu erhalten. Ladet Euch "Outpost,
ZoneAlarm
oder
Sygate" oder ähnliches auf eure Rechner. Diese Firewalls
werden Euch gut
genug schützen. (und das nicht nur vor Trojanern) Die Erfahrung zeigt, daß so
gut wie niemand der "normalen Surfer" gegen Trojaner geschützt ist. Die meisten
wissen gar nicht was Trojaner eigentlich sind und besitzen weder
Trojan-Scanner: zB.
Anti-Trojan (a²),
Ewido,
The Cleaner
oder
Tauscan noch Firewalls:
zB.
Outpost,
ZoneAlarm
oder
Sygate
Beschreibung von Firewalls:
Alle Zugriffe vom Internet aus und zum Internet hin werden mit diesem Programm
grundsätzlich erst einmal verhindert. Danach kann man sehr einfach Programmen
den Zugriff erlauben, so das nur Programme, denen man vertraut, auch wirklich
Kontakt aufnehmen können. Jeder andere Versuch endet mit einer Warnmeldung.
Fazit: unbekannte Programme und Trojaner kann man damit gut überwachen
bzw. ausfindig machen.
Mit Firewalls ist
das Surfen (besonders in Chat`s) um ein vielfaches sicherer!
Firewall:
zB.
Outpost,
ZoneAlarm
oder
Sygate
Hier können Sie Ihren PC auf Sicherheit Testen
Symantec
/
ShildsUp
|