CyberAngels Board

1. Definition Client/Server
2. Remote-Controller
3. Was unterscheidet Trojaner von Remote-Controllern
4. Sinn und Zweck von Trojanischen Pferden
5. Was kann ein Trojaner
6. Welche Gefahren gehen von Trojanern für den Surfer aus

Trojanische Pferde

Dr. Solomon, ein international anerkannter Virenspezialist (von dem auch der geichnamige Virenscaner stammt) hat ein Trojanisches Pferd einmal so beschrieben:

"Ein Trojaner ist ein Programm, das etwas mehr tut, als der Benutzer erwartet, und diese zusätzliche Funktion ist zerstörerisch. Dies führt zu einem Problem, was die Aufdeckung von Trojanern betrifft. Sagen wir, ich hätte ein Programm geschrieben, das zuverlä??Tssig entdecken könnte, ob ein anderes Programm die Festplatte formatiert hat. Kann es dann sagen, daß dieses Programm ein Trojaner ist? Wenn das andere Programm die Festplatte formatieren sollte (wie beispielsweise Format), dann ist es offensichtlich kein Trojaner. Wenn aber der Benutzer das Formatieren der Festplatte nicht erwartete, dann ist es ein Trojaner. Das Problem liegt darin zu vergleichen, was das Programm tut und was der Benutzer erwartet. Sie können die Erwartungen eines Benutzers nicht bestimmen."

Zur Verdeutlichung des Zusammenhangs hier noch einmal die historische Grundlage:

Im 12. Jahrhundert vor Christus erklärte Griechenland Troja den Krieg. Der Sage nach begann der Streit, als der Prinz von Troja die Königin von Sparta entführte, um sie zu seiner Frau zu machen. Die Griechen nahmen die Verfolgung auf und führten einen 10 Jahre dauernden Krieg gegen Troja. Sie konnten Troja aber nicht erobern, da es zu gut geschützt war.
In einem letzten Eroberungsversuch zog sich die griechische Armee zurück und hinterließ ein riesiges hölzernes Pferd. Dieses Pferd war hohl und in ihm versteckten sich die besten griechischen Soldaten. Die Trojaner sahen das Pferd und brachten es in der Annahme, daß es sich um ein Geschenk handele, in ihre Stadt. In der folgenden Nacht kletterten die griechischen Soldaten aus dem Pferd und überwältigten die Trojanische Armee im Schlaf.

Nach diesem kleinen Exkurs in die Geschichte kommen wir auf die Bedeutung der gleichnamigen Programme.

Tip: Unter den RFC (Request for Comments) 1244 finden Sie eine offiziell an-erkannte Defintion für den Begriff Trojanisches Pferd http://www.rfc-editor.org/rfc/rfc1244.txt

Damit Sie die Funktionsweise von Trojanischen Pferden - in Kurzform auch einfach Trojaner genannt - nachvollziehen können, verdeutlichen wir Ihnen vorab kurz die klassischen Unterscheidungsmerkmale von Client und Server.

1. Definition Client / Server

Grob aus dem englischen übersetzt bedeutet Client soviel wie Klient oder "Kunde" der die Dienstleistung die eines Servers (Servierer, Anbieter) in Anspruch nimmt. Es gibt unzählige Arten von Servern, die allesamt nur einen Zweck zu erfüllen haben; nämlich den Clients entweder Daten oder Dienstleistungen zur Verfügung zu stellen. Um zu ver-deutlichen, was konkret damit gemeint ist nehmen wir als Beispiel einen Files-Server. Dieser dient dazu, Daten von verschiedenen Clients (auch im lokalen Netzwerk auch Workstations genannt) aufzubewahren, dafür zu sorgen, dass niemand anders darauf zugreifen kann ausser den legitimierten Personen und wenn es gewünscht wird, Daten auch einer grösseren Personengruppe zur Verfügung zu stellen.
Zusammenfassend stellen wir also fest: Ein Server hat immer etwas zu bieten und der Client praktisch immer derjenige, der sich an diesem Angebot bedient (wie immer das auch aussehen mag).

>zurück zum Seitenanfang<

2. Remotecontroller

Der Begriff Remotecontroller kommt aus dem englischen und bedeutet soviel wie Fernsteuerer oder Fernwarter. Einfach ausgedrückt ist es ein legitimes Programm das dazu dient, von einem Rechner auf einen anderen innerhalb eines Netzwerkes zugreifen zu können. Wobei dieses Netzwerk auch das Internet sein kann.
Nehmen wir als Beispiel einen der bekanntesten Vertreter dieser Programme PC-Anywhere.
http://enterprisesecurity.symantec.com/products/products.cfm?productID=2

Dieses Programm besteht aus einem oder mehreren Server(n) und einem Client. Nehmen wir einmal an, auf ihrem Rechner wurde von einem Kundendienst ein PC-Anywhere-Server installiert um Ihnen bei eventuellen Problemen zur Hand gehen zu können so ist der Service-Techniker, sobald Sie den Server gestartet haben und er legitimiert ist in der Lage von jedem Punkt des Netzwerkes in dem sich Ihr Rechner befindet (im Internet folglich von der ganzen Welt aus) auf ihren Rechner zuzugreifen und damit genauso zu arbeiten, wie sie selbst es tun. Es passiert aber nichts im Hintergrund sondern ist für im Normalfall für den Benutzer immer einzusehen, was auf seinem Rechner gerade passiert und ob sich zum Beispiel der Servicetechniker auf ihrem Rechner eingeloggt hat oder nicht. Ein ganz normales Programm also, das aus der täglichen Arbeit eines Systemadministrators heute nicht mehr wegzudenken ist. Jetzt wird die Sache allerdings schon etwas verzwickter, denn Programme dieser Art k&??Touml;nnen auch so entwickelt werden, dass der normale User Anwender nicht mitbekommt, wann sich jemand auf seinem Rechner befindet und was dieser darauf macht. Womit wir mitten im eigentlichen Thema dieses Abschnittes gelandet sind: Den Trojanischen Pferden - oder einfach kurz Trojanern.

>zurück zum Seitenanfang<

3. Was unterscheidet Remotecontroller von Trojanern

Diese Frage ist ad hoc gar nicht so einfach zu beantworten, da es sich im Grunde um genau die gleichen Programme handelt. Netbus (http://www.netbus.org), ein bekannter Vertreter unter den Trojanern hat sich im Laufe der Jahre vom Trojaner zum Remote-Controller gemausert und wird inzwischen kommerziell als solcher angeboten. Wie sie sehen, sind die Grenzen zwischen diesen Programmdefinitionen fliessend. Ein Trojanisches Pferd hat aber immer eine Eigenart, und zwar dass es im Hintergrund arbeitet. Das heisst, der Gastrechner (auf dem der Trojanerserver installiert ist) bekommt im Idealfall gar nicht mit, dass sich ein solcher auf seinem Rechner befindet; genauso wenig bemerkt er in der Regel, wenn sich ein Fremder Zugang zu seinem Rechner verschafft hat. Eine weitere Eigenart von Trojanern ist, dass sie meistens in ganz normalen Pro-grammen "versteckt" sind. Werden diese Trägerprogramme aufgerufen (zum Beispiel Bildschirmschoner oder kleine Scherzprogramme) installiert sich der Trojanerserver im Hintergrund, ohne dass der arglose User etwas davon mitbekommt.
In welchen Dateien können sich Trojaner verstecken?
In aller Regel können Trojanische Pferde nur in Programmen enthalten sein, die ausgeführt werden können. Also meistens *.com oder *.exe-Dateien.
Ausnahmen bestätigen natürlich wie immer die Regel. Theoretisch wäre es auch möglich, einen Trojaner in einem Word-Dokument zu verstecken sofern die Option "Visula Baisc Code ausführen" aktiviert wurde.
In Text-oder Bilddateien können sich keine trojanischen Pferde befinden, da es sich hierbei um passive Dateien handelt, die nicht ausgeführt werden können. Zu dieser Gruppe gehören Textdateien, Bilddateien aller Formate (zum Beispiel *.jpg, *.bmp, *.gif, usw.) ebenso wie Tondateien und Filme (*.wav, *.mp3, *.avi, *.mpg usw.).

Zusammenfassend können wir feststellen: Alle Dateien, die nicht in irgendeiner Weise selbständig aktiv etwas machen,können keine Trojaner enthalten.

Kurz zu erwähnen sei in diesem Zusammenhang noch die Frage zu gepackten Archiven wie zum Beispiel Zip- oder Rar-Dateien. Diese Archive können an sich durchaus Trojanische Pferde enthalten, die jedoch nur aktiviert werden können, wenn das entsprechende Programm ausgeführt wird das sich in diesem Archiv befinden kann.

Beispiel: Nehmen wir an, Sie laden eine Zip-Datei mit dem Namen Setup.zip herunter;. mit dem entsprechenden Entkomprimierungsprogramm können sie das Archiv gefahrlos öffnen.
In diesem Archiv befindet sich jetzt zum Beispiel eine Datei Namens readme.txt und eine Datei Namens Install.exe. Sie entpacken dieses Archiv bisher ??T immer noch risikolos in ein Verzeichnis; weiterhin gefahrlos können sie sich jetzt die radme.txt-Datei radme.txt durchlesen, wenn sie jedoch die Datei Install.exe aktivieren ist es möglich dass mit dem Starten des Programmes gleichzeitig im Hintergrund ein trojanisches Pferd installiert wird ohne dass sie es bemerken.
Anders gelagert ist der Fall bei selbstextrahierenden Archivdateien da da diese wieder in der Lage sind aktiv etwas selbständig zu verrichten (nämlich sich selbst zu entpacken - in diesem Fall die Archivinhalte zu entkomprimienren) können im Zuge dieses Vorgangs des Inhaltes im Hintergrund auch Trojaner mitinstalliert werden.

>zurück zum Seitenanfang<

4. Sinn und Zweck und Gefahr von trojanischen Pferden
Bei Trojanern handelt es sich also um Client/Server-Programme, die als sogenannte Remote Controller eingesetzt werden können. Ein Trojanisches Pferd an sich ist eine verhältnismässig harmlose Geschichte da es in aller Regel keine Schadfunktion besitzt, die von sich aus aktiv wird; entscheidend ist dabei ist immer die Motivation des Menschen, der am anderen Ende der Leitung sitzt und diesen bedient. Die Möglichkeiten die Trojaner bieten sind sehr vielfältig und haben fast immer das gleiche Ziel; nämlich möglichst viele Daten und Informationen über den Zielrechner herauszubekommen bzw. den grösstmöglichen Schaden auf dem Zielsystem anzurichten. Diese Werkzeuge stehen zur Verfügung, müssen aber natürlich nicht zwangsläufig destruktiv benutzt eingesetzt werden. Sub Seven stellt in den richtigen Händen zum Beispiel einen hervorragenden ??TRemote Controller dar, solange man der Person vertrauen kann, die ihn bedient. Konzipiert wurden diese Programme natürlich zu einem ganz andern Zweck und das wird deutlich, wenn wir uns den Aufbau eines Trojaners ein wenig näher betrachten.

5. Was kann ein Trojaner ?

In diesem Abschnitt wollen wir ein wenig näher beleuchten, welche dieser obskuren Werkzeuge denn zur Verfügung stehen, und zu welchem Zwecke sie gebraucht werden um ihnen die Gefahr, die von solchen scheinbar harmlosen Programmen ausgehen kann etwas näher zu bringen. Die Palette reicht von trivialen Spielereien wie per Knopfdruck den Bildschirminhalt auf den Kopf stellen oder die Funktionen der Maustaste vertauschen bis zu wirklich ernsthaften Funktionen wie Keylogging.

- Keylogging
Beim Keylogging wird jeder Tastendruck den sie tätigen in einer Logdatei protokolliert (natürlich auch wenn sie nicht online sind) und auf Ihrem Rechner abgespeichert. Der Angreifer kann diese Datei beim nächsten Kontakt mit Ihrem Rechner einsehen oder heruntergeladen. Eine elegantere Möglichkeit bietet zum Beispiel das Programm Sub Seven. Bei diesem ist es möglich, den Server so zu konfigurieren, dass er automatisch jedes Mal wenn Sie sich ins Internet einwählen im Hinter-grund die Log files per E-Mail an den Angreifer übermittelt. Welche Gefahr davon ausgeht können Sie sich leicht anhand eines Beispiels vor Augen führen. Nehmen wir an, Sie haben die Angewohnheit im Internet per Kreditkarte zu bezahlen so ist es mit einem solchen Keylogger ein Kinderspiel, die Kartennummer herauszubekommen egal ob die Nummer verschlüsselt übertragen wird oder chiff??Triert auf Ihrer Festplatte abgelegt wird. Es werden ja die Tastenanschläge geloggt und die lassen sich nicht ohne Weiteres verschlüsseln.

- Dateimanager
Ein weiteres sehr effizientes Werkzeug ist der Dateimanager, über den praktisch jeder Trojaner verfügt. Im Grunde ist dieser vergleichbar mit einem lokalen Dateimanager wie zum Beispiel dem Explorer. Er bietet praktisch den gleichen Funktionsumfang mit dem kleinen Unterschied , dass sich Daten auch vom Zielrechner herunterladen lassen.

- FTP-Server
Einige Trojanerserver haben zudem noch einen bereits integrierten FTP-Server im Funkti-onsumfang mit dem es dann nicht nur möglich ist, Dateien vom Zielrechner herunterzuladen, sondern auch auf diesen zu verschieben. So wäre es zum Beispiel ohne Weiteres möglich, damit einen Virus auf Ihren Rechner hochzuladen und zu aktivieren.

- Registryeditor
Mit einem solchen Registryeditor, über den auch sehr viele Trojaner verfügen und der im Grunde ähnlich arbeitet, wie das Programm regedit.exe ist es möglich, Daten innerhalb der Windowsregistry (der Schaltzentrale aller Windows-Betriebssysteme) zu verändern, was unter Umständen verheerende Folgen haben kann da praktisch alle wichtigen Funktionen von Windows über diese Registry koordiniert werden.

- Passwordspionage
Eine der Hauptaufgaben von Trojanern ist (wie oben beschrieben) das ausspionieren von Benutzdaten aller Art. Diese Passwortspione lesen zum Beispiel den Inhalt des Passwortcaches aus oder zeigen den Inhalt verschiedener Dateien an, in denen oft Passwörter ab-gelegt werden.

- Webcam-und Screencapturing
??T Screencapturing ermöglicht es dem Angreifer, Ihnen direkt auf den Ihren Desktop zu sehen, und Ihre Arbeit zu verfolgen. Die ist mit einem Screenshot zu vergleichen, der in regelmäßigen Abständen von Ihrem Desktop geschossen und an den Angreifer übermittelt wird. Aber abweichend von einem bloßen Screenshot ist es dem Angreifer über die Trojaner-Software möglich, selbständig auf dem Ihrem Desktop tätig zu werden. Er kann zum Beispiel wie sie selbst auch per Mausklick Anwendungen zu öffnen oder schliessen.
Webcamcapturing funktioniert in ähnlicher Weise, nur dass der Angreifer hier den Datenstrom einer bei Ihnen installierten und aktiven Webcam anzapfen kann. Er kann somit die von Ihnen mittels Webcam aufgezeichneten Bilder empfangen.
An was denken Sie jetzt?
Haben Sie Ihre Webcam auch auf Ihren eigenen Platz gerichtet dann man Sie im oben beschrieben Falle vor diesem sitzen sehen.

Ich denke, diese Beispiele über die Verwendungsmöglichkeiten von Trojanischen Pferden sprechen eine deutliche Sprache und verdeutlichen Ihnen, wie brisant dieses Thema ist.

>zurück zum Seitenanfang<

6. Welche reale Gefahr besteht für den Surfer
Um Ihnen zu verdeutlichen, dass diese die Gefahr von Trojansichen Pferden nicht nur theoretisch besteht, sondern sehr wohl real existiert, habe ich mit einem Portscanner einen Versuch unternommen und eine definierte Adressgruppe von ca. 2500 IP-Adresen nach offenen Ports gescannt, die standardmässig von von trojanischen Pferden benutzt werden.

Das Ergebis sieht im Detail folgendermassen aus:

- Innerhalb dieser Adressgruppe waren 1247 Rechner online

- Bei 153 Rechnern waren Ports geöffnet, die auf einen potentiellen Trojanerbefall schliessen lassen

- ca. 60 Rechner hatten mit hoher Wahrscheinlichkeit einen Trojaner auf ihrem Rechner

Wenn man dieses Ergebnis des zufällig gewählten Portscans Werte als Referenzdaten verwendet, kann man davon ausgehen, dass auf ungefähr 5% aller Rechner im Internet Programme installliert haben, die es anderen ermöglichen, ohne das Wissen des Besitzers auf diesen zuzugreifen.

Eine kleine Hochrechnung: Theoretisch könnten also ca. 1 Millionen Rechner in Deutschland (bezogen auf alle zu Zeit in der BRD via Internet vernetzten PCs) mit Programmen dieser Art ausgestattet sein!

Die Frage, die sich in diesem Zusammenhang natürlich stellt ist, auf welchen Wegen kann man sich denn überhaupt mit einem trojanischen Pferd infizieren kann. In aller Regel geschieht das, indem man Programme ausführt, von denen man nicht genau weiss, von wem sie kommen oder die Bezugsquelle nicht vertrauenswürdig einzustufen ist. Nehmen wir als zum Beispiel an, Sie bekommen von einer Ihnen unbekannten Person eine Mail, an die eine ausführbare Datei (def. S.o.) angehängt ist. In mindestens 80% aller Fälle wird diese Datei aufgerufen und sich sehr darüber gefreut, dass j??Tetzt irgend etwas lustiges mit dem PC passiert. Prominentes Beispiel ist zum Beispiel der Dosenhalter von Coca-Cola (es war natürlich nicht von der Firma Coca Cola, aber nannte sich eben so). Sie rufen ein kleines Programm auf, und die CD-ROM-Lade öffnet sich. Nett anzusehen..nur dass sich oft genug im Hintergrund ein weniger netter ungebetener Gast installiert hat, haben die wenigsten User mitbekommen.

Wenn Sie also eine Datei ausführen, deren Ursprung sie nicht kennen (ob aus dem Internet, von einer Diskette oder E-Mail spielt dabei keine Rolle) gehen Sie immer das Risiko ein, dass Ihr Rechner mit einem Trojaner infiziert wird. Auch Virenscanner sind nicht immer Hundehrprozent zuverlässig vor allem dann, wenn die Virendatenbank nicht regelmässig aktualisiert wird. Des weiteren reicht oft eine kleine Veränderung im Quellcode eines Trojaner-Servers (der bei einigen Trojanern, zum Beispiel Back Orifice, frei verfügbar ist) um ihn vor Virenscannern zu tarnen.

In diesem Zusammenhang ist eine komplett neue Gefahrenquelle entstanden, die mit Sicherheit noch für viel Wirbel sorgen wird, wenn sie in sich dieser Trend in Zukunft diesem Umfange bestätigen sollte. Das blosse Besuchen einer Webseite reicht danach angeblich aus, um sich ein trojanisches Pferd auf seinem Rechner zu installieren.

Auf der Webseite www.Trojaner-Info.de stand in diesem Zusmmenhang folgendes zu lesen:

Trojaner installiert sich bei Besuch einer Webseite
Bisher galt stets: Nur durch Ausführen einer Datei seitens des Anwenders kann ein T??Trojaner auf das System des Anwenders gelangen. Hier mal abgesehen von den Worms, die sich über HTML-Mails installieren können. Immer wieder tauchen Meldungen über Webseiten auf, wo dem ahnungslosen Anwender ein bzw. sogar mehrere Trojaner untergejubelt werden. Dabei merkt es der Besucher noch nicht einmal........Quelle: http://www.trojaner-info.de

Weitergehende Informationen zu den Themen Trojanische Pferde finden Sie unter folgenden Links:
http://www.multimania.com/ilikeit/
http://www.trojaner-info.de/
http://www.xploiter.com/
http://www.polderware.com/highlights/trojan_horses.shtml

©2001 All Rights reserverd by Thomas Leichtenstern

©2003 by it-secure-x