SUCHE MIT Google
Web virtualuniversity.ch
HOME DIDAKTIK ECDL ELEKTRONIK GUIDES HR MANAGEMENT MATHEMATIK SOFTWARE TELEKOM
DIENSTE
Anmeldung
Newsletter abonnieren
Sag's einem Freund!
VirtualUniversity als Startseite
Zu den Favoriten hinzufügen
Feedback Formular
e-Learning für Lehrer
Spenden
Autoren login
KURSE SUCHEN
Kurse veröffentlichen

Suche nach Datum:

Suche mit Schlüsselwort:

Suche nach Land:

Suche nach Kategorie:
PARTNER
ausbildung24.ch - Ausbildungsportal, Seminare, Kursen... 

 
HTMLopen.de - Alles was ein Webmaster braucht

 
PCopen.de - PC LAN Netze und Netzwerke - alles was ein IT Profi und Systemtechnicker braucht

TELEKOM

Erkennung trojanischer Pferde bei Windows

Viren- oder Trojanerscanner verwenden

Zunächst sollten Sie sich einen Virenscanner kaufen oder aus dem Internet herunterladen. Sehr viele Hersteller bieten eine in den Funktionen uneingeschränkte Testversion zum ausprobieren an. Nachdem die Software installiert wurde, sollte unbedingt ein Update per Internet durchgeführt werden. Bevor Sie zum ersten mal Ihr Systemnach Viren und Trojanern durchsuchen lassen, sind noch ein paar wichtige Einstellungen an der Antivirensoftware zu tätigen. Das Programm ist dahingehend zu konfigurieren, daß beim Scan alle Dateien untersucht werden. Außerdem sollte das Programm in keinem Fall bei einer festgestellten Infektion sofort eine Säuberung oder Entfernung der infizierten Dateien vornehmen. Das ist sehr wichtig, da einige Trojaner den Virenscannern erhebliche Probleme bei der Entfernung bereiten bzw. diese sehr fehlerhaft entfernt werden. Das kann schnell zur Folge haben, daß ein System nicht mehr nutzbar und/oder unter Umständen kaum noch reparabel ist. Das Trojaner-Programm "SubSeven" in neueren Version bereitet hier z. B. sehr oft erhebliche Probleme. Sollte die AntiViren Software keine Infektionen feststellen, so heißt das jedoch noch lange nicht, daß ein System auch wirklich trojanerfrei ist.

Autorun-Einträge überprüfen

In der Regel macht ein Trojaner nur dann Sinn, wenn er sich auf dem System so installiert, daß er bei jedem Systemstart ausgeführt wird. Das bedeutet: Der Trojaner läuft ständig im Hintergrund des Systemes mit und wartet, bis der User eine Onlineverbindung aufbaut. DIe Start-Quellen bei Windows sind leider äußerstvielfältig:
  • Autostart-Ordner
    Diese Möglichkeit wird von Trojanern sehr selten genutzt. Grund: Die Entdeckungsgefahr ist zu hoch. Den Autostart-Ordner finden Sie z. B. wie folgt: Windows-Start -> Suchen -> Dateien/Ordner. Num "Autostart" eingeben, worauf der Ordner angezeigt wird.

  • Datei WIN.INI
    Eine vor allem früher sehr häufig anzutreffende Methode ist die Eintragung in die Win.ini unter den Parametern "Load=" oder "Run=". Vorsicht! Manche Trojanische Pferde tragen sich nicht direkt hinter der Parameter-Bezeichnung ein, sondern nach zahlreichen Leerzeichen, damit dieses nicht sofort erkannt wird. Scrollen Sie also mit dem unteren Balken einfach mal nach rechts. Den besten Zugriff auf diese Datei (und SYSTEM.INI, Autoexec.bat, Config.sys) hat man über das Programm SYSEDIT. (Start -> Ausführen -> sysedit.exe eingeben).

  • Datei SYSTEM.INI
    Eine Eintragung erfolgt unter dem Paramter "shell=". Vorsicht: Hier ist schon eine Eintragung Namens "Explorer.exe" enthalten, die nicht gelöscht werden darf. Es könnten jedoch noch weitere Eintragungen vorhanden sein.

  • Datei Autoexec.bat
    Trojaner nutzen diese Möglichkeit so gut wie gar nicht. Da jedoch diese Möglichkeit ebenfalls gegeben ist, wird sie hier mit angeführt.

  • Datei Config.sys
    Einige, wenige Trojaner tarnen sich auch als Gerätetreiber auf Windows-95/98/ME-Systemen. Diese Trojaner lassen sich jedoch schwer realisieren und sind daher zum Glück noch recht selten.

  • Datei Winstart.bat
    Wenn hier eine Eintragung erkennbar ist, bedeutet dieses in der Regel folgendes: Eine Befehlzeile veranlasst das Kopieren einer Datei, welche vor dem letzten Systemstart gelöscht wurde. Bisher sind kaum Trojaner bekannt, die diesen Weg nutzen.

  • Datei Wininit.ini
    Nicht zu verwechseln mit der Datei WIN.INI! Die Datei Wininit.ini muß sich im übrigen auch nicht auf jedem System befinden. Jedoch kann hier einmalig zwecks Autorun (also Ausführung einer Datei bzw. eines Trojaners) ein Eintrag erfolgen, welcher danach sogar gelöscht wird. Im übrigen heißt die Datei "Wininit.ini" im ausgeführten (geladenen) Windows-System dann "Winit.bak". Normalerweise wird diese Datei für das Fortsetzen von Installationsprogrammen nach einem Neustart verwendet. Sie wird aber auch mitunter von Virenscannern zur Entfernung von Trojanern oder Viren genutzt.

  • Datei progman.ini
    Das ist die Stuerdatei des "Program-Managers" - ein Relikt aus Windows-3.1. Sie wird aber immer noch beim Start verarbeitet.

  • Datei control.ini
    Auch hier ist es theoretisch möglich, einen Eintrag unterzubringen. Bisher ist jedoch noch kein Fall bekannt, wo sich eine Trojaner hier eingetragen hat.

  • Windows-Registrierung
    Um hier zu forschen, muß der Registry-Editor aufgerufen werden (Start -> Ausführen -> regedit eingeben). Ein Programm mit scheinbar unendlichen Eintragungen/Ordnern öffnet sich. Hier interessieren nur einige, wenige Pfade: 
                                           HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
                                       HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
                                       HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
                                       HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
                                       
                                       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
                                       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
                                       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\

  • Die sogenannten Unknown-Methoden
    Auch hier wird die Windows-Registrierung für den Autostart genutzt. Unter diesen Pfaden sind folgende Einträge zu finden: 
                                           HKEY_CLASSES_ROOT\exefile\shell\open\command\ @="%1" %*"
                                       HKEY_CLASSES_ROOT\comfile\shell\open\command\ @="\"%1\" %*"
                                       HKEY_CLASSES_ROOT\batfile\shell\open\command\ @="\"%1\" %*"
                                       HKEY_CLASSES_ROOT\htafile\Shell\Open\Command\ @="\"%1\" %*"
                                       HKEY_CLASSES_ROOT\piffile\shell\open\command\ @="\"%1\" %*"
                                       
                                       HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\ @="\"%1\" %*"
                                       HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\ @="\"%1\" %*"
                                       HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"
                                       HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command\ @="\"%1\" %*"
                                       HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\ @="\"%1\" %*"
    Vor der Zeichenkette "%1" %* könnte noch ein Programm eingetragen worden sein. Normalerweise ist jedoch nur die oben gezeigte Eintragung vorhanden. Sollte hier somit noch eine ausführbare Datei (exe, com etc.) enthalten sein, so könnte sich dahinter ein trojanisches Pferd verbergen. Bei Trojanerverdacht in keinem Fall den gesamten Eintrag entfernen, sondern nur das Programm!

  • Tarnung als Gerätetreiber
    Ein Trojanisches Pferd kann sich auch als Gerätetreiber tarnen, was jedoch noch verhältnismässig selten der Fall ist. Auch erweist sich die genaue Identifizierung als nicht gerade einfach. Schließlich kann sich hinter einem Eintrag auch ein harmloser Gerätetreiber verbergen, dessen Löschung mehr Schaden als Nutzen bringt. Auch für Treiber erfolgt eine Eintragung in der Registrierung - jedoch unter einem "ungewohntem" Pfad: 
                                           HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\INTLD
    Zur Identifizierung sollte jedoch zumindest ein Process-Viewer zur Hilfe genommen werden, der unter Umständen eine der im o. g. Pfad Eintragung als laufenden Prozess anzeigt. Windows liefert von Haus aus ein sehr brauchbares Programm namens "Dr. Watson" mit.

  • über "Explorer.exe" auf Laufwerk C:\
    Aufgrund eines Bugs in Windows, wird immer zunächst die erste aufzufindende Datei "explorer.exe" ausgeführt (also in Verzeichnis C:\), bevor die eigentliche Datei "c:\windows\explorer.exe gestartet wird. Erstere bewirkt, daß ein Trojaner dieses Namens zunächst geladen werden kann, der dann seinerseits die "richtige" Datei startet.

  • Ersetzen der Datei runonce.exe
    Die Original-Windows-Datei "runonce.exe" wird durch ein modifizierte Datei ersetzt, die damit einen Autostart ermöglicht.

Laufende Prozesse überprüfen

Häufig kommt man einem Trojaner schon auf die Schliche, indem man die laufenden Prozesse überprüft. Betätigen Sie die Tasten: AltGr + Strg + Entf. Nun erscheint eine Box, welche laufende Prozesse anzeigt, die man auch entsprechend beenden kann. Allerdings ist diese Methode überhaupt nicht sicher, da die meisten trojanischen Pferde es verstehen, sich vor diesem "Taskmanager" zu verstecken.

Windows liefert aber von Haus aus ein gutes Werkzeug zur Überprüfung aller laufenden Prozesse mit. Das Programm heißt "Dr. Watson" (Start -> Ausführen -> drwatson eingeben). Gehen Sie auf den Menüpunkt "Ansicht" und wählen Sie die Option "Erweiterte Ansicht". Für Anfänger ist Dr. Watson jedoch erwas schwierig, da das Programm wirklich alles anzeigt, was Windows so treibt.

Überprüfung der Ports mittels Netstat

Da wie weiter oben beschrieben, die meisten Trojaner im Hintergrund auf eine Onlineverbindung "warten", belegen diese einen TCP-Port. Die Ports kann man mittels des Programms "netstat" überprüfen. Rufen Sie die DOS-Eingabeaufforderung auf und geben Sie folgenden Befehl ein: netstat -a. Eine Online-Verbindung darf dabei nicht bestehen. Die Ausgabe könnte so aussehen: 
                                       Aktive Verbindungen
                                       
                                       Proto Lokale Addresse   Remote-Addresse   Status
                                       TCP   _:27374           0.0.0.0:45178    LISTENING
                                       UDP   _:27374           *:*
Wie man sieht, wird der Port 27374 "belegt". Anhand der Portliste könnte man daraus schliessen, daß ein System mit dem Trojaner "SubSeven" neuerer Version infiziert ist. Zumindest ist es ein recht sicheres Anzeichen dafür.

Die Überprüfung mit einer einzigen der oben genannten Methoden ist nicht unbedingt aussagekräftig. Gehen Sie jedoch alle Methoden nacheinander durch, werden Sie dem Trojaner sicherlich auf die Schliche kommen können.

DIPLOMARBEITEN UND BÜCHER

Diplomarbeiten zum Runterladen:

Suche im Katalog:
 Architektur / Raumplanung
Betriebswirtschaft - Funktional
Erziehungswissenschaften
Geowissenschaften
Geschichtswissenschaften
Informatik
Kulturwissenschaften 		Medien- und Kommunikationswissenschaften
Medizin
Psychologie
Physik
Rechtswissenschaft
Soziale Arbeit
Sozialwissenschaften
JOBS
HOME | E-LEARNING | SITEMAP | LOGIN AUTOREN | SUPPORT | FAQ | KONTAKT | IMPRESSUM
Virtual University in: Italiano - Français - English - Español
VirtualUniversity, WEB-SET Interactive GmbH, www.web-set.com, 6301 Zug

Partner:   Seminare7.de - PCopen.de - HTMLopen.de - WEB-SET.com - YesMMS.com - Ausbildung24.ch - Manager24.ch - Job und Karriere