Trojanische Pferde

Hintertüren (Backdoors) und Rootkits

Neben den bekannten Backdoor-Programmen NetBus und Back Orifice gibt es noch eine ganze Reihe anderer, weniger bekannter Malware in dieser Kategorie.
Die Backdoor-Programme wurden anfangs noch zu den Trojanischen Pferden gerechnet, die man unter Ignorieren der historischen(?) Begebenheiten auch als Trojaner bezeichnet. Dieses Wort ist einfach kürzer und hat sich wohl hauptsächlich deshalb durchgesetzt.

Heute unterscheidet man zwischen den Trojanern und den Backdoors nach folgenden Kriterien:

Trojanische Pferde (Trojaner)

Als Trojaner bezeichnet man diejenigen Programme, die (als Nutzprogramm getarnt) im Verborgenen Daten ausspähen und diese an einen Angreifer übermitteln, z.B. per E-Mail, FTP, ICQ, IRC, NNTP (Newsgroups). Genau genommen sind auch die Programme, die Backdoors einschleusen, als Trojanische Pferde anzusehen. Sie werden oft als "Trojan-Downloader" klassifiziert.

Hintertüren (Backdoors)

Im Unterschied zu den Trojanern eröffnen Backdoors dem Angreifer den direkten Zugriff auf den angegriffenen Rechner, d.h. er kann Daten 'live' ausspionieren oder manipulieren. Meist sind eher als Spielerei anzusehende Zusatz-'Features' wie Öffnen/Schliessen des CD-ROM-Laufwerks vorhanden. Die 'interessanteren' Fähigkeiten sind:

• Tastatureingaben protokollieren
• Tastatureingaben ausführen
• Bildschirmfotos übertragen (Screen-Shots) oder gar eine 'Live-Übertragung' des Bildschirminhalts
• Dateien übertragen
• Dateien erstellen, bearbeiten, löschen
• Netzwerkverbindungen herstellen, beenden
• Programme starten, beenden
• Dienste starten, beenden
• Rechner/Betriebssystem zum Absturz bringen

Backdoors warten typischerweise auf eine Kontaktaufnahme von außen, in dem sie an bestimmten IP-Ports lauschen, teils TCP-, teils UDP-Ports. Eine Übersicht über die von Trojanern und Backdoors genutzten Ports finden Sie hier, ebenso eine Liste der 'normalen' IP-Dienste mit ihren typischen Ports.

Darauf aufbauend ist die Malware-Gattung der "Bots" entstanden. Sie vernetzen die gekaperten Rechner untereinander bzw. mit einem 'Mutterschiff', dem so genannten C&C-Server (Command & Control). Die Rechner eines solchen Bot-Netzes werden auch als "Zombie-PCs" bezeichnet, weil sie fremdgesteuert agieren, ohne dass ihr Besitzer etwas davon mitbekommt. Sie werden durch den Angreifer, "Botmaster" genannt, kontrolliert. Dieser missbraucht sie etwa als Spam-Schleuder (womit er Geld verdient) oder für verteilte Angriffe auf Web-Server.

Viele, aber längst nicht alle Trojaner und Backdoors werden inzwischen von guten Antivirus-Programmen erkannt, meist schon, bevor sie sich installieren können oder kurz darauf. Programme zum Netzwerk-Monitoring leisten dem Kundigen ebenfalls gute Dienste beim Aufspüren verdächtiger Aktivitäten, in dem sie alle Ports überwachen und deren Status anzeigen, z.B. Sysinternals TCPview (Microsoft).

Der beste (aber leider auch aufwendigste und/oder teuerste) Schutz vor solcher Malware ist eine gut konfigurierte Firewall, die es erlaubt alle Ports zu sperren und nur diejenigen freizugeben, die für legitime Dienste benötigt werden. Da Backdoors z.T. auch Ports benutzen, die eigentlich von normalen IP-Diensten verwendet werden, sollte die Freigabe dieser Ports auf der Basis von Regeln erfolgen, die den Missbrauch unterbinden, ohne die Gebrauchsfähigkeit des Netzwerks einzuschränken.

Schauen Sie auch mal bei Trojaner-Info rein.

Rootkits

Eine relativ neue Klasse Trojanischer Pferde sind genannte Rootkits. Ein Rootkit dient dazu die Dateien und/oder Prozesse eines anderen Schädlings vor Windows, dem Benutzer und Antivirus-Programmen zu verstecken.

Moderne Antivirus-Programme sind in der Lage installierte Rootkits zu entdecken und auch zu entfernen – wenn auch nicht in jedem Fall. Vor allem können sie jedoch die Installation eines Rootkits verhindern, wenn sie es rechtzeitig entdecken.

Gegen Rootkits können speziell darauf abgestimmte Programme helfen. Ein solches Programm ist z.B. F-Secure BlackLight. Es kann viele Rootkits entdecken und auch entfernen. Es ist inzwischen Teil der F-Secure Antivirusprodukte und nicht mehr separat erhältlich.
Der Sysinternals RootkitRevealer (Microsoft) ist ebenfalls kostenlos, kann allerdings nichts entfernen. Sie finden hier weitere Anti-Rootkit-Programme.

Nach Entfernen eines Rootkits mit einem Spezialprogramm sollte der PC einer Komplettprüfung (alle Laufwerke, alle Dateien) mit dem installierten und zuvor aktualisierten Virenscanner unterzogen werden.

Wird ein Rootkit auf einem PC entdeckt, handelt es sich meist nur um die sprichwörtliche Spitze eines Eisbergs. Um sicher sein zu können, dass der PC wieder frei von Malware ist, sollte man am besten alle wichtigen Daten auf externe Speichermedien sichern und dann Windows auf einer frisch formatierten Festplatte neu installieren.