Trojanische Pferde

Hintertüren (Backdoors) und Rootkits

Neben den bekannten Backdoor-Programmen NetBus und Back Orifice gibt es noch eine ganze Reihe anderer, weniger bekannter Malware in dieser Kategorie.
Die Backdoor-Programme wurden anfangs noch zu den Trojanischen Pferden gerechnet, die man unter Ignorieren der historischen Begebenheiten auch als Trojaner bezeichnet. Dieses Wort ist einfach kürzer und hat sich wohl hauptsächlich deshalb durchgesetzt.

Heute unterscheidet man zwischen den Trojanern und den Backdoors nach folgenden Kriterien:

Trojanische Pferde (Trojaner)

Als Trojaner bezeichnet man diejenigen Programme, die (als Nutzprogramm getarnt) im Verborgenen Daten ausspähen und diese an einen Angreifer übermitteln, z.B. per E-Mail, FTP, ICQ, IRC, NNTP (Newsgroups). Genaugenommen sind auch die Programme, die Backdoors einschleusen, als Trojanische Pferde anzusehen.

Hintertüren (Backdoors)

Im Unterschied zu den Trojanern eröffnen Backdoors dem Angreifer den direkten Zugriff auf den angegriffenen Rechner, d.h. er kann Daten 'live' ausspionieren oder manipulieren. Meist sind eher als Spielerei anzusehende Zusatz-'Features' wie Öffnen/Schliessen des CD-ROM-Laufwerks vorhanden. Die 'interessanteren' Fähigkeiten sind:

• Tastatureingaben protokollieren
• Tastatureingaben ausführen
• Bildschirmfotos übertragen (Screen-Shots) oder gar eine 'Live-Übertragung' des Bildschirminhalts
• Dateien übertragen
• Dateien erstellen, bearbeiten, löschen
• Netzwerkverbindungen herstellen, beenden
• Programme starten, beenden
• Dienste starten, beenden
• Rechner/Betriebssystem zum Absturz bringen

Backdoors warten typischerweise auf eine Kontaktaufnahme von außen, in dem sie an bestimmten IP-Ports lauschen, teils TCP-, teils UDP-Ports. Eine Übersicht über die von Trojanern und Backdoors genutzten Ports finden Sie hier, ebenso eine Liste der 'normalen' IP-Dienste mit ihren typischen Ports.

Viele, aber längst nicht alle Trojaner und Backdoors werden inzwischen von guten Antivirus-Programmen erkannt, meist schon, bevor sie sich installieren können oder kurz darauf. Programme zum Netzwerk-Monitoring leisten dem Kundigen ebenfalls gute Dienste beim Aufspüren verdächtiger Aktivitäten, in dem sie alle Ports überwachen und deren Status anzeigen, z.B. TCPview von Sysinternals.

Der beste (aber leider auch aufwendigste und/oder teuerste) Schutz vor solcher Malware ist eine gut konfigurierte Firewall, die es erlaubt alle Ports zu sperren und nur diejenigen freizugeben, die für legitime Dienste benötigt werden. Da Backdoors z.T. auch Ports benutzen, die eigentlich von normalen IP-Diensten verwendet werden, sollte die Freigabe dieser Ports auf der Basis von Regeln erfolgen, die den Missbrauch unterbinden, ohne die Gebrauchsfähigkeit des Netzwerks einzuschränken.

Schauen Sie auch mal bei Trojaner-Info rein.

Rootkits

Eine relativ neue Klasse Trojanischer Pferde sind genannte Rootkits. Ein Rootkit dient dazu die Dateien und/oder Prozesse eines anderen Schädlings vor Windows, dem Benutzer und Antivirus-Programmen zu verstecken.

Kaum ein Antivirus-Programm ist bislang in der Lage installierte Rootkits zu entdecken und auch zu entfernen. Sie können jedoch die Installation eines Rootkits verhindern, wenn sie es rechtzeitig entdecken. Erst wenige Antivirus-Programme der Generation 2006 haben die nötigen Mittel an Bord, um Rootkits entfernen zu können.

Gegen Rootkits helfen meist nur -wenn überhaupt- speziell darauf abgestimmte Programme. Ein solches Programm ist z.B. BlackLight von F-Secure. Es kann viele Rootkits entdecken und auch entfernen. Es ist kostenlos erhältlich.
Der RootkitRevealer von Sysinternals ist ebenfalls kostenlos, kann allerdings nichts entfernen.

Nach Entfernen eines Rootkits mit BlackLight sollte der PC einer Komplettprüfung (alle Laufwerke, alle Dateien) mit dem installierten und zuvor aktualisierten Virenscanner unterzogen werden.

Wird ein Rootkit auf einem PC entdeckt, handelt es sich meist nur um die sprichwörtliche Spitze eines Eisbergs. Um sicher sein zu können, dass der PC wieder frei von Malware ist, sollte man am besten alle wichtigen Daten auf externe Speichermedien sichern und dann Windows auf einer frisch formatierten Festplatte neu installieren.