Trojan horses - Trojanische Pferde

Für diesen Artikel ist ein gewisses Verständnis von IP-Adressen und Ports Voraussetzung, wie es z.B. in dem Artikel Internet-Grundlagen vermittelt wird!

Ein Wort an die "Nicht-Befürworter" von PFWs (alle anderen überspringen das bitte!):

Dass Trojan Horses oder Spyware als Plug-In den Browser zum Kommunizieren verwenden können, ist bekannt! Dass man Protokolle tunneln kann, natürlich auch. Ebenso, dass es Fälle gab, in denen Malware PFWs oder AV-Software terminiert oder funktionsunfähig gemacht hat.

Es geht hier jedoch nicht darum, Fälle zu suchen, in denen PFWs versagen könnten, sondern darum, dem normalen Endanwender mit wenigen Schritten zu möglichst viel Sicherheit zu verhelfen, ohne sie z.B. NetBIOS-Bindings auf NICs manuell entfernen zu lassen, was alle anderen Vorteile einer PFW sowieso nicht kompensierren würde. Wer ein Niveau (sowohl die bisherigen Sicherheitsmassnahmen als auch seinen Kentnisstand betreffend) erreicht hat, dass er sich um BHO (Browser Helper Objects) kümmern kann, der hat i.d.R. bereits eine PFW installiert (oder 125 Einzelschritte durchgeführt, die zum gleichen Ergebnis führen!).
Im Falle von z.B. Symantec Internet Security kann er nun genau diesen Browsermissbrauch erkennen, in dem er "Überwachung von Programmstarts" oder sogar "Überwachung von Programkomponenten" einschaltet und jede einzelne DLL sieht!

 

red ball Hast Du schon mal eine Mail mit einer richtig lustigen Animation bekommen oder ein tolles, kleines Game von einer unbekannten Webseite herunter geladen?
red ball Klickst Du manchmal auf "OK" und weisst nicht ganz genau, warum ?
red ball Hat Dir irgend jemand im Chat von dem neuen, voll coolen Tool erzählt, das so ziemlich alles kann und es Dir auch gleich per eMail geschickt ?
red ball Oder hast Du ActiveX eingeschaltet (das ist beim Internet Explorer standardmäßig der Fall!) ?

Falls Du eine der Fragen mit "ja" beantwortest, könntest Du Dir, ohne es zu wissen, ein Trojan Horse eingefangen haben! Dabei mag das Game fehlerfrei funktioniert haben oder die Animation sogar so lustig gewesen sein, dass Du sie sofort an Deine 5 besten Freunde weitergeschickt hast.

Zusätzlich zu dem, was Du siehst, könnte sich jedoch stillschweigend eine Software installiert haben, die

red ball die selben Zugriffsrechte hat wie Du, d.h. sie kann alles auslesen, löschen oder per eMail versenden, auf das Du jetzt oder in Zukunft Zugriff hast!
red ball geduldig wartet, bis Du online gehst und erst dann (Deine) Daten an andere Rechner verschickt (falls der Programmierer das so vorgesehen hatte)
red ball sich nach jedem Booten automatisch wieder aktiviert
red ball

fast immer in irgendeiner Weise die Ausspähung oder Fernsteuerung Deines PCs durch fremde Rechner im Internet zulässt (mit 'fast immer' ist nicht die Anzahl verschiedener Trojan Horses gemeint, sondern die Verbreitung nach „Beliebtheit“).

red ball Deinen PC zum Teil eines DDoS-Angriffes (Distributed Denial of Service) werden läßt, so dass die Betreiber angegriffener Systeme Deine IP Adresse in Ihren Logfiles finden und ggfs. Dich kontaktieren werden.
red ball von Deinem Rechner aus massenhaft SPAM eMails versendet.

Du hast nun eine Vorstellung, was ein Trojan Horse anrichten kann und kennst einige Möglichkeiten, wie man es versehentlich installiert (es gibt natürlich noch weitere!).

Dialer sind eine besondere Form von Malware (malicious software, schädliche Software), die versucht, sich unerkannt oder unter falschem Vorwand zu installieren, um dann überteuerte (ISDN-)Verbindungen aufzubauen. Ihr einziges Ziel ist, unerkannt möglichst viele, teure oder lange Verbindungen herzustellen, die den Betreibern der Anbieter-Nummern zugute kommen.
Gegen Dialer sollte zusätzlich zum Virenscanner ggfs. eine eigene Anti-Dialersoftware eingesetzt werden, falls ein ISDN-Anschluss zum PC besteht. Näheres erfährst Du z.B. auf unserer Partnerseite www.dialerschutz.de, die auf das Thema spezialisiert ist.

Was kann man gegen Trojan Horses tun ?

Zunächst: Lasse den residenten Teil Deiner Antiviren-Software ("Shield", "Monitor" o.ä. genannt) aktiviert. Dies ist in der Regel die Standardeinstellung. Scanne weiterhin jede neu auf Deinem PC eingetroffene Datei (je nach Endung) mit Deinem Virenscanner! Dies ist sinnvoll, da viele Scanner nicht nur Viren, sondern auch die wichtigsten Trojaner erkennen.

Verlasse Dich jedoch nicht blind auf Deinen Virenscanner! Genau wie auch Deine Personal Firewall könnte er von einem Schadprogramm sogar deaktiviert worden sein!

Weiterhin gibt es Hersteller, die sich speziell auf das Aufspüren von Trojan Horses spezialisiert haben. Mit solchen Produkten habe ich zwar auch einige gute Erfahrungen gemacht, jedoch einen der führenden Trojan Horse Scanner, der weit über 3000 Trojaner-Varianten finden will, wieder deinstalliert, nachdem nicht er, sondern mein Virenscanner eine bekannte Sub7-Variante gefunden hatte. Sub7 in allen möglichen Versionen ist einer der beliebteste Trojaner überhaupt. Die Empfehlung lautet daher:

Installiere eine Personal Firewall ! Sie bietet Dir nämlich gleichzeitig noch weitere Vorteile!

 

Etwas Know-How vorab ...

... schadet nichts und wird Dir spätestens dann zugute kommen, wenn Deine neu installierte Personal Firewall Dich im Lernmodus fragt, ob Outlook.exe eine Verbindung zu Port 53 des Servers 194.25.2.131 aufbauen darf. Ööh, ... klar! ... Oder lieber nicht ?

Mögliche Antwort mit (sehr kurzer!) Erklärung hierzu:

Port 53 steht für das DNS-Protokoll (nachlesbar in der Datei "C:\WINNT\system32\drivers\etc\services" (ohne Endung) oder in einem anderen Systemverzeichnis; Linux: /etc/services), es soll also vermutlich eine Namensabfrage gemacht werden. Ferner offenbart uns die Eingabe:
C:\>nslookup 194.25.2.131
dass es sich um den Namensserver dns02.btx.dtag.de der Telekom handelt. Falls nun "Outlook.exe" wirklich das Outlook aus dem Verzeichnis ist, in dem Du es auch installiert hast und Du eben eine Mail senden oder abholen wolltest (oder Dein Outlook.exe eMail alle x Minuten selbst abholt), spricht (fast) nichts dagegen, die Abfrage zuzulassen und gleich den Haken bei "Entscheidung merken" zu setzen :-)

So, nach dieser "Abschreckung" drosseln wir das Tempo wieder etwas und sehen uns den eigenen PC mal etwas näher an.

Stelle doch zunächst einmal fest, welche Verbindungen in diesem Moment von Deinem Rechner zu anderen bestehen und welche Ports dabei verwendet werden. Eine Anzeige erhälst Du zwar auch offline, die Ausgabe wird jedoch realer und interessanter, wenn Du Dich zunächst ins Internet einwählst und einige Web-Seiten abrufst. Gib nun ein:

C:\>netstat –a (beschreibende) oder
C:\>netstat –an (numerische Portangabe)

Die Ausgabe von netstat -an sieht etwa so aus:

Active

Proto
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
UDP
UDP
UDP
UDP
UDP
UDP
UDP
UDP
UDP

Connections

Local Address
0.0.0.0:135
0.0.0.0:445
0.0.0.0:1025
0.0.0.0:1026
0.0.0.0:1028
0.0.0.0:1040
0.0.0.0:1044
0.0.0.0:1045
0.0.0.0:1046
0.0.0.0:3372
0.0.0.0:4981
192.168.0.1:139
217.80.34.22:139
217.80.34.22:1027
217.80.34.22:1029
217.80.34.22:1031
217.80.34.22:1032
217.80.34.22:1034
217.80.34.22:1035
217.80.34.22:1036
217.80.34.22:1037
217.80.34.22:1039
217.80.34.22:1040
217.80.34.22:1041
217.80.34.22:1042
217.80.34.22:1043
217.80.34.22:1044
217.80.34.22:1045
217.80.34.22:1046
217.80.34.22:4981
217.80.34.22:4996
217.80.34.22:4997
217.80.34.22:4998
217.80.34.22:4999
0.0.0.0:135
0.0.0.0:445
0.0.0.0:1027
192.168.0.1:137
192.168.0.1:138
192.168.0.1:500
217.80.34.22:137
217.80.34.22:138
217.80.34.22:500

 

Foreign Address
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.25.134.90:25
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
194.64.51.100:80
*:*
*:*
*:*
*:*
*:*
*:*
*:*
*:*
*:*

 

State
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
LISTENING
TIME_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT
CLOSE_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT
ESTABLISHED
ESTABLISHED
ESTABLISHED
ESTABLISHED
TIME_WAIT
TIME_WAIT
TIME_WAIT
TIME_WAIT


rot: Dein Rechner (217.80.34.22) wartet unter anderem auf Port 139 auf eingehende Verbindungen, auch wenn derzeit niemand damit verbunden ist. Offene Ports 137-139 werden häufig für Angriffe auf Deine Netzwerkfreigaben benutzt, oder um z.B. Deinen Rechner- und Anmeldenamen abzufragen. Im Internet geht der Anmeldename an Deinem PC definitiv niemanden etwas an!
grün: Du hast vor kurzem ein Webseiten-Element von www.focus.de (194.64.51.100) abgerufen
blau: Dein Rechner hat eine bestehende („established“) Verbindung zum Port 25 des Rechners 194.25.134.90 aufgebaut. Dies hat den harmlosen Grund, dass Port 25 (SMTP) für eMail zuständig ist und die Ausgabe während des Sendens (!) einer langen Mail erzeugt wurde. Hierfür wurde vom Mailclient der zufällige Source-Port 4981 gewählt

Anmerkung: Empfang von eMail geschieht (im Internet) entweder über POP3 (Port 110) oder IMAP4 (Port 143).

Auch ein Trojan Horse, das Verbindungen zu anderen Rechnern aufbauen oder als Serverkomponente auf einem Port lauschen will (es gibt auch Trojan Horses, die schlicht Daten zerstören oder verändern), ist darauf angewiesen, sich mindestens eines der installierten Protokolle zu bedienen. Dies könnte also auch IPX/SPX (Novel) oder NetBEUI in lokalen Netzwerken sein. Da wir hier jedoch über Kommunikation im Internet sprechen, kommt auch das Trojan Horse nicht an TCP/IP und damit an IP Adressen und Ports vorbei!

Vielleicht fragst Du Dich, ob sich nicht hinter einem der oben angezeigten Ports (Ausgabe von Netstat –an) ein Trojan Horse verbirgt. Vielleicht kennst Du Dich bereits etwas in Portbelegung aus und bist sicher, dass keines Deiner Programme z.B. auf Port 1026 lauschen sollte. In einer der oberen Zeilen steht aber vielleicht genau das!

Keine Panik! Viele Programme belegen dynamisch Ports oberhalb von 1023. Die Frage, welches Programm sich in diesem Moment hinter einem bestimmten Port verbirgt, ist jedoch nur mit Hilfe von entsprechenden Tools zu beantworten. Eines der wenigen Tools, die das vernünftig tun, ist Fport (Freeware).

Es macht trotzdem Sinn, die auf Deinem PC aktuell offenen Ports (also Ports, auf denen ein Programm auf einen Verbindungsaufbau wartet) hin und wieder auf verdächtige Software hin zu prüfen. Hierbei ist es ein hilfreicher Anhaltspunkt, die Standardports der wichtigsten Trojan Horses zu kennen. Eine umfangreiche Liste der von Trojanern häufig verwendeten Ports findest Du z.B. hier.

Man sollte sich nicht zu sehr auf Port- und Trojanerlisten verlassen, denn die von Trojanern verwendeten Ports sind meist konfigurierbar. Du kannst Dir also beispielsweise den Klassiker "Back Orifice" eingefangen haben, auch wenn Port 31337 nicht offen ist!

Warum ist all das nicht ausreichend ?

Ein Trojaner kann einfach die Proxy-Einstellungen des Internet Explorers auslesen und Daten mittels http versenden. Einige (wie auch Spyware) kann sich sogar in den Browser als Plug-In "einklinken" und diesen misbrauchen! Weder den Browser noch HTTP möchte man jedoch sperren, da sonst Surfen im Internet unmöglich wäre.

Ferner existieren in der Szene Codes für Trojaner, die noch nicht einmal einen (dauerhaft) offenen Port benötigen ! Es genügt, bestimmte Paketmuster in definierter Reihenfolge an bestimmte (nicht offene) Ports zu senden, damit der installierte Trojaner "aufwacht" und reagiert!

Das sind ja schlechte Aussichten! Was tun ?

Firewalls (FWs)

Die Kontrolle, welche Daten von wo nach wo gelangen dürfen, bietet eine Firewall. Genau das ist die Aufgabe einer Firewall im Kern: Zu gewährleisten, dass nur die Daten, die der Firewall-Administrator in seinen Regeln definiert hat, passieren dürfen und alle anderen nicht. Zusatzfunktionen wie Content Checking (Inhaltskontrolle, z.B. von Javascript) oder Virenscan sind Features der Hersteller, um im Mitbewerb mithalten zu können.

Im professionellen Einsatz wird eine Firewall stets auf einem eigenen Rechner mit speziell gehärtetem (modifizierten und stark abgespeckten, von allen unnötigen Services befreiten) Betriebssystem installiert. Eine professionelle Firewall hat oft 8 und mehr Netzwerkinterfaces und kann den Datenfluss zwischen ganzen Unternehmensbereichen kontrollieren.

Diese kurze Ausführung soll den Unterschied verdeutlichen zur Personal Firewall, die zwar auch Kontrolle über Datenströme ausübt, jedoch mehr für den eigenen PC verantwortlich ist, auf dem sie installiert ist. Ab sofort steht der Begriff „Firewall“ aus diesem Grund für „Personal Firewall“, sofern nicht anders angegeben.

Personal Firewalls (PFWs)

Personal Firewalls kontrollieren meist nicht nur Datenverkehr zu Ports und IP-Adressen, sondern es können zusätzlich Regeln für Programme erstellt werden. So erscheint es selbstverständlich, dass Netscape.exe mit Port 80 Verbindungen ins Internet aufbauen möchte, aber wozu sollte sich sysx86core.exe (dies nur zur Verdeutlichung! Selbstverständlich wird Malware versichen, sich "Netscape.exe" oder ähnlich zu nennen!) mit www.hacker.com verbinden wollen ?

Nach der Installation sollte eine Firewall dem default deny Prinzip folgend zunächst einmal alle Verbindungen verhindern, die man nicht explizit erlaubt. Hierfür steht in der Regel ein Selbstlern-Modus zur Verfügung. Das sieht bei Symantec zum Beispiel so aus:

Doch was tun, falls das Trojan Horse unter Programmnamen wie IExpl0re.exe auftritt? Manche Hersteller gehen bei Personal Firewalls so weit, dass die bekanntesten Trojan Horses sogar unter „fremdem“ Namen namentlich erkannt werden. Dies ist ein sinnvoller Zusatz, bietet aber natürlich keine Gewähr und erspart auch nicht die regelmäßigen Viren-Pattern-Updates (Updates der Virensignaturen).

Ist Dir übrigens aufgefallen, dass das O eine Null ist ? Und überhaupt ... hieß das zum Internet Explorer gehörende Programm bisher nicht immer IEXPLORE.EXE (ohne r hinten) ??? :-))

Ganz nebenbei ermöglicht Dir eine Personal Firewall die volle Kontrolle über "Phone Home" - Software, also Programme, die ungefragt Verbindung zum Herstellerserver aufnehmen.

Ein Graubereich ist die Prüfung, ob Updates zum Download vorliegen. Leider lehrt die Praxis, dass es bei sehr vielen Herstellern gang und gäbe ist, ungefragt Daten zum Herstellerserver zu senden, um Updates zu suchen. Wer das nicht möchte, muss die Funktion explizit ausschalten oder blockieren.

Unseriös und unter dem Begriff Spyware bekannt (vgl. Artikel Usertracking) ist das Senden von zur Funktion unnötigen Daten ohne die Zustimmung des Benutzers. Prominente Negativ-Beispiele sind der Windows Media Player von Microsoft und (trotz mehrfacher massiver Kritik der Datenschützer) der RealPlayer von Realnetworks.com, dessen Einsatz man sich gut überlegen sollte.

Sollte Deine PFW über eine Funktion verfügen, die es ermöglicht, den Start von Programmen durch andere Programme zu kontrollieren, so nutze diese Möglichkeit! Manche Malware kommuniziert nicht direkt nach "aussen", sondern nutzt z.B. den Browser!

Es stellt sich nun die Frage, welche Personal Firewall die mit Abstand "beste" mit den meisten und sichersten Funktionen und zudem das am einfachsten zu bedienende ist.

Eine solche Bewertung verdient wohl keines der am Markt befindlichen Produkte, vor allem aufgrund des geforderten "Abstandes". Trotzdem werden im Anschluss einige Links zu Herstellern aufgeführt, deren Personal Firewalls sich in den letzten Jahren gut etabliert haben. Wir empfehlen, zur konkreten Kauforientierung den aktuellen Vergleichstest eines renomierten Computermagazins zu lesen und dabei einen grossen Bogen um "Computerblöd" zu machen.

Besonders beachtenswert bei der Kaufentscheidung sind die jeweils aktuellste Version der Personal Firewall und ggfs. auch das komplette Internet-Sicherheitspaket folgender Hersteller:

red ball Symantec mit der Norton Personal Firewall bzw.der Norton Internet Security lässt kaum Wünsche offen, bis auf die Übersichtlichkeit bei der Konfiguration der Firewallregeln. Totzdem sehr empfehlenswert.
red ball ZoneAlarm (Pro) von Zonelabs ist eine der bekanntesten und verbeitetsten Personal Firewalls. Die Freeware-Version ist sehr simpel in der Bedienung gehalten, spricht den Einsteiger an und erfüllt ihren Zweck bereits gut. Die Pro Versiion ist mehr als einen Blick wert.
red ball Die Tiny Personal Firewall von www.tinysoftware.com bietet dem erfahrenen Benutzer fast alles, was das Herz begehrt.

Es sei nochmals unterstrichen, dass der Trend zu integrierten "Gesamtschutz"-Lösungen geht, d.h. es lohnt sich zu prüfen, ob das avisierte Softwarepaket ("Suite") vielleicht auch die Lösung für weitere Probeme wie Spam, Viren oder Pop-Ups bietet.

 

Guru divider

Es gilt der vom Hauptmenu aus erreichbare Disclaimer von Guru's Heaven.

Ich distanziere ich mich ausdrücklich von jeglichen Seiten und deren Inhalten, auf die direkt oder indirekt verwiesen wird. Alle Inhalte geben die persönliche Meinung des Autors wieder. Der Autor hält die Inhalte für richtig und ist bestrebt, mit deren Nennung anderen zu helfen, kann Irrtümer jedoch nicht ausschliessen. Jegliche Haftung des Autors, die in direktem oder indirektem Zusammenhang mit den genannten Inhalten steht, ist ausgeschlossen.

Siehst Du keine Frames oder nicht die von Guru's Heaven ?
Hier, gelangst Du zur Hauptseite von Guru's Heaven!