Trojaner




Hier einiges über die wichtigsten Trojaner:


Trojanische Pferde:

es war einmal ein Stadt die den Namen Troja trug. Die Griechischen Belagerer versuchten jede List um diese Stadt einzunehmen. Doch ihre Bemühungen wurden nie mit Erfolg gepriesen. Bis sie eines Tages abzogen und ein großes hölzernes Pferd hinterließen. Die Einwohner Trojas freuten sich darüber das die Belagerung vorbei war und sahen diese Gebilde als Geschenk der Griechen an.

Doch die alten Griechen hinterließen Ihre besten Kampfer in diesem "Geschenk". Als es Nacht über Troja wurde kam der wahre Zweck des Trojanischen Pferdes zum Ausdruck. Die versteckten Kämpfer kletterten aus dem Holzpferd und schlachteten alle Einwohner nieder...
Soviel zu dem Namen von Trojanern. Diese Idee wurde dann in den 90er Jahren von Karl Koch wieder aufgebracht. Er programmierte ein Programm das vorgab die Paßwortabfrage eines Systems zu sein. Wenn daraufhin ein Benutzer dieses Systems sich einloggen wollte kam zuerst der Trojaner und forderte die Person ein das Paßwort einzugeben. Das Programm merkte sich dann den Benutzernamen und das Paßwort.
Dieses Programm durchlief dann etliche Veränderungen bis zum perfekten Spionagewerkzeug.



Ich möchte Euch die bekanntesten vorstellen:

Back Oriffice, Netbus und SubSeven


Am 3.8.98 veröffentlichte die Hackergruppe "Cult of The Dead Cow" das Trojanische Pferd "Back Orifice" im Internet. Mit dieser Veröffentlichung verbreiteten sich auch die Informationen und Gegenmaßnahmen über Trojaner.


Back Orifice :

Eigenschaften und Funktionsweise:


- "Back Orifice" besteht wie seine Kumpanen aus einem Server- und einem Clientprogramm. Es installiert sich selbst oder man hängt es einfach an andere Dateien dran. (Dadurch merkt es niemand)
- BO wird in der Task-Liste nicht angezeigt und wird beim Hochfahren des Rechners unter einem beliebigen Namen gestartet.
- Während der BO-Client auf allen möglichen Betriebsystemen lauffähig ist, gibt es den BO-Server nur für Windows 95 oder höher.


"Back Orifice" hat u.a. folgende Funktionalitäten:


*Tastaturrecorder
* Steuern von Multimedia-Funktionen, wie z.B. - Erstellen von Screen-Shots - Bedienung angeschlossener cams etc. - Abspielen von Wav-Dateien
* Rebooten des Rechners
* Auslesen von Systeminformationen, wie z.B. - CPU - Windows Version - Speicherauslastung - Passwords des Bildschirmschoners, - Netzwerkzugängen, Web etc.
* Up- und Download von Files
* Aktivieren eines HTTP-Servers
* Manipulationen am Filesystem, wie z.B. - Kopieren - Löschen - Umbenennen - Suchen
* Modifikation von Registry-Schlüsseln und - Werten, also: - Auflisten - Erstellen - Löschen
* Prozeßkontrolle
* Netzwerkkontrolle (incl. Umleiten von Paketen!)
* Monitoring von Netzwerkpaketen
* Scannen eines Netzes nach aktiven BO-Servern


Desweiteren besitzt "Back Orifice" ein PlugIn-Interface, über das ein beliebiger Programmcode unentdeckt ausgeführt werden kann.
Über diese Schnittstelle ist BO jederzeit remote "updatebar".


Back Orifice Erkennen und Beseitigen :

Manuelle Entfernung :


Öffnet die Registry (geht auf "Ausführen" und tippt hier "regedit" ein) und schaut unter dem Schlüssel:

HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
RunServices

nach einem Eintrag mit dem Namen ".exe" (Default-Filename bzw. mit einem Eintrag der Länge von ca. 124,928 Bytes). Löscht diesen Eintrag; er bewirkt, daß der "Back Orifice"-server bei jedem Windows Start automatisch aktiviert wird.
Das Programm selbst liegt im allgemeinen im Verzeichnis "\Windows\System" und ist daran erkennbar, daß es kein Programm-Icon hat und eine Größe von 122 KByte (oder geringfügig mehr) besitzt.






Netbus :

NetBus ist ein Trojanisches Pferd ("Trojan Horse"), das in seiner Funktionalität "Back Orifice" entspricht, also eine Hintertüre ("Back-door") öffnet, über die man via Netzwerk unbemerkt auf den Rechner zugreifen kann. NetBus ist allerdings wesentlich bedienerfreundlicher und mächtiger als Back Orifice. Es wurde von dem Schweden Carl-Fredrik Neikter geschrieben, der die erste Version Mitte März 1998 veröffentlichte. Derzeit liegt das Programm in etlichen Versionen vor.


Eigenschaften und Funktionsweise:

NetBus besteht aus einem Client- ("netbus.exe") und einem Server-Programm (häufig: "patch.exe", bei Version 1.5x: "SysEdit.exe"), welches zur "Verwaltung" von Remote Rechnern eingesetzt werden kann.
Version 1.60 arbeitet über den fest eingestellten TCP/UDP-Port "12345", ab Version 1.70 ist dieser variabel konfigurierbar.


NetBus hat u.a. folgende Funktionalitäten:

* Aufzeichnen von Tastatureingaben 
* Einschalten eines "Key-Clicks" und Abschalten bestimmter Zeichen 
* Maus-Steuerung (incl. Vertauschen von rechter und linker Maustaste) 
* Öffnen und Schließen der CD-ROM (ggf. in automatisch in Intervallen) 
* Generieren von "Fehler-", "Warn-" und "Info-Meldungen"   (mit Anzeige der "Antwort") 
* Starten von Anwendungen
* Anspringen von Webseiten (URLs) 
* Erstellen eines Bildschirm-Dumps (als BMP oder JPG)
* Abspielen von wav-Dateien
* Aufnahmen über ein angeschlossenes Mikrophon
* Manipulationen am Filesystem, wie z.B.  - Kopieren  - Löschen   - Umbenennen  - Suchen
* Up- und Download von Files 
* Anzeigen und Schließen aller geöffneten Fenster
* Auslesen von Systeminformationen 
* Rebooten des Rechners
* Redirekt von Ports und Rechner 
* Redirekt der Ein-/ Ausgabe von Applikationen an einen definierbaren   TCP/UDP-Port
* Portscanner, der aktive NetBus-Ports auf über einen vorgegebenen  Adreßbereich findet 
* Möglichkeit, Zugang auf vorgegebene Adressen zu beschränken

Der gefährlichere von beiden ist NetBus (wobei es gleich noch etwas "dicker" kommt), da der NetBus-Server eine kleine (unbemerkte) Mitteilung verschicken kann durch die man die IP des Opfers erhält.




Dieser Server ist auf die gleiche Weise wie der BO-Server zu entfernen. Er liegt unter dem selben Schlüssel nur solltet Ihr hier nach Einträgen wie: "SySedit.exe" oder "patch.exe" Ausschau halten.



SubSeven :


SubSeven steht Back Orifice und Netbus in keiner Weise nach, es Besitz noch einige weitere bzw. erweiterte Funktionen:


*Adreßbuch (Hacker können sich ja auch nicht alles merken, es dient der Speicherung von "Stammkunden" mit
  einer Standleitung oder permanenten IP)
*Connection Manager:
  IP-Scanner, Abfrage von Computer- und User-Name,
  Systeminformationen (CPU Speed, HD Größe,  aktuelle Auflösung, Windows-Version etc.)
  Benachrichtigung per ICQ, IRC und Email (über aktivierten Server)
*Keyboard Manager:
  Loggen von Tastatureingaben (auch Off-Line!), ICQ Spy, Abschalten der Tastatur, Schließen und Entfernen des Servers
*Fun Manager:
  Mauszeiger verstecken,
  Windows-Farben und -auflösung verändern,
  Internet-Verbindung unterbrechen,
  Ändern von Datum und Zeit,
  Verstecken und Anzeigen der Desktop-Icons und des START-Buttons,
  Ein- und Ausschalten des Monitors, Disable/ Enable von <CTRL+ALT+DEL>,
  drehen des Monitorbildes, etc.
*Misc.Manager:
  Anzeige von Passwords,
  Capture einer angeschlossenen Kamera, Bildschirm-Capture,
  Öffnen eines FTP-Servers!,
  Editieren der Registry,
  Ausdrucken von Text auf dem Drucker des "Opfers"
*File Manager:
  Anzeigen und Löschen von Files und Verzeichnissen,
  Ausführen von Anwendungen
  Übertragen von Files (up- und download),
  Setzen eines "Wallpapers"
*Windows Manager:
  Anzeigen aller aktiven Fenster und Applikationen, Schließen von Windows und Abschalten des "X" Buttons
*Options Menü:
  Festlegen der Qualität des Full Screen Capture, Einstellen des "Download Direcory"
*Edit Server:
  Festlegen des Ports,
  Einstellen der Autostart-Funktion (Registry, Win.ini etc.),
  Ändern der File-Größe und des Server-Icons,
  Anhängen eines beliebigen EXE-Files,
  Einstellen des File-Namen nach der Installation,
  Einstellen des Registry Key


Subseven installiert sich normalerweise in:
- c:\Windows\win.ini
- c:\Windows\system.ini
- in der Registry :


HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run ( oderRunServices )

Das manuelle entfernen ist nur bedingt machbar, da die Dateien gern umbenannt werden! (SERVER.EXE KERNEL16.DLL, RUNDLL16.COM, SYSTEMTRAYICON!.EXE, WINDOW.EXE, etc.)

unter Windows\System befindet eine weitere Datei mit dem Namen WATCHING.DLL



  




Ihr solltet die Trojaner mit Virenscanern entfernen wie z. B. Norton Anti-Virus oder Mc Affe etc....
Es gibt zur Zeit etliche, teilweise programierbare und völlig unterschiedliche Trojaner. Sie sind so gefährlich, weil sie nur schwer zu erkennen sind.
Das löschen der Serverdatei nach Aktivierung wird Euch nichts mehr bringen. Der Trojaner hat sich dann bereits fest gebissen. Die Standard-Trojaner findet man noch relativ leicht, aber es gibt Versionen bei denen es schwerer ist. Die Hersteller von Virenscannern müssen, bevor sie was gegen den Trojaner unternehmen können, zuerst einmal ein Musterexemplar besitzen. Es gibt einige sehr zuverlässige Scanner, jedoch erkennen sie nie alle.
Hier empfiehlt es sich eine gute Firewall einzurichten (richtig einrichten!) um einen mehr oder weniger guten Schutz zu erhalten. Ladet Euch "Zonealarm", "Jammer" oder ähnliches auf eure Rechner. Diese Wall wird Euch gut genug schützen. (und das nicht nur vor Trojanern) Die Erfahrung zeigt, daß so gut wie niemand der "normalen Surfer" gegen Trojaner geschützt ist. Die meisten wissen gar nicht was Trojaner eigentlich sind und besitzen weder Scanner noch Firewalls.


aktulelle (30 Tage) Freeware von Agnitum: Agnitum

. . . . . . . . . . . . . . . . . .ein weiteres Programm ist Zonealarm ( Freeware ): Zonealarm

Beschreibung von Zonealarm:

Alle Zugriffe vom Internet aus und zum Internet hin werden mit diesem Programm grundsätzlich erst einmal verhindert. Danach kann man sehr einfach Programmen den Zugriff erlauben, so daß nur Programme, denen man traut, auch wirklich Kontakt aufnehmen können. Jeder andere Versuch endet mit einer Warnmeldung.

Fazit: unbekannte Programme und Trojaner kann man damit gut überwachen bzw. ausfindig machen.

Mit diesen Programmen ist das surfen (besonders in Chat`s) um ein vielfaches sicherer!

kleine Anmerkung zu Lockdown:

Es ist ein eigentlich recht gutes Tool, doch leider vergißt es in seinem Eifer die eigentliche Aufgabe.
Anstelle die Ports ordentlich zu bewachen krixelt es im Falle eines Angriffes haufenweise Logfiles und überlastet den Rechner bis zum gefürchteten Bluesrceen (schweerer Ausnahmefehler).
Bei mehreren Angriffen (zB. mit Octopus) übersteigt der Text dieProtokollkapazität, es kann nicht mehr die Datei C:\PROGRAM FILES\LOCKDOWN 2000 herstellen. Dutzende von " Winoldap" Prozesse beginnen, es werden Betriebsmittel verbraucht. Ab diesem Punkt fangen oftmals die blauen Bildschirme des Todes an. Der Benutzer muß nun entweder zurücksetzten oder Lockdown abbrechen. Es ist sicherlich die Ausnahme, aber für ein bezahltes Programm ...

PS: Es ist für mich auch etwas Paradox wenn manche zu Hackern gehen um sich einen Crack für ein Tool gegen Hacker zu holen.


eine weitere nützliche Seite ist: anti-trojan.net

sie bietet einen Scanner an, welcher bereits 98 Trojaner findet und frei heruntergeladen werden kann um eure HD auf Trojaner zu checken.
diese sind im unter anderem:

1Pic, AOL Password Steale, AOL-Patch, BackConstruction 2.1, BackDoor 2.01-2.03, Back-Orifice, Back-Orifice 2000 (BO2K)Der Spaeher 2.0, Der Spaeher 3.0, Eclipse 2000, ExploreZip, Girl Friend 1.3, Girl Friend 1.35, Hack'a'Tack, JammerKillah12, Kuang2 logger AS, Liberty, MassMail 1.6, Millenium, Netbus 1.60, Netbus 1.70, Netbus 2.0x, Netbus in ICQ-Crack, Netbut pro Beta, Satans Back Door, Schwindler 1.82, Spying King 1.0, Spying King 2.0, SubSeven 1.3 - 1.9, SubSeven 2.0/2.1, Trojan Spirit 1.2, Trojan Spirit 2001 a, Vampire, Vampire 1.2, Vicky, Xtcp Port 5550

weiterhin gibt es ausfühliche Informationen sowie ein Forum, NEWSLETTER und Hilfe zu FAQ - FRAGEN
Hier könnt Ihr euch auch euren Rechner online auf die bekannstesten Trojaner checken lassen.



- f i e d e -




wichtiger Hinweis:



aufgrund mehrerer Nachfragen möchte ich mit dieser Seite auf Schwachstellen aufmerksam machen und keine Anleitung für Hacker geben !


schon das einfache rumspielen mit Trojanern kann euch leicht zum Opfer werden lassen!

noch eine Frage: was macht Ihr wenn ihr mit illegalen Mitteln (Hacken) illegale Sachen (z.B.Kinderpornos) entdeckt und euch euer Gewissen nicht mehr schlafen läßt ?

meldet es auf alle Fälle - egal was auf euch zukommt !
(und Hinterlast dem Besitzer, so auch der Wille von "mobman", dem Urvater von Sub7, ein schönes Landschaftsbild nach dem löschen der Dateien).
meiner Meinung nach gibt es nichts schlimmeres als nichts zu tun !




Dein Rechner:

Betriebssystem :
Browser :
Version :
Sprache :
Bildschirmauflösung :
Browsername :
Farbtiefe :

Deine Festplatte :
klick
2. Laufwerk :      
klick


hier gehts zur ehemaligen sub7help.de ...

hier gehts zur alten bo2k.de







wer nicht glaubt, einen Rechner mit einem Html-Befehl manipulieren zu können, klickt einach mal und merkt das plötzlich ein Neustart nötig ist (vorher noch alle Anwendungen schließen bzw. speichern ) !