Ungebetene Gäste
Trojaner am Windows-PC

von Aron Vrtala (Ausgabe 04/1, März 2004)

 

Kasten: Alarmstufe Rot: Rootkits

 

Das Thema Systemsicherheit betrifft selbstverständlich alle Betriebssysteme - bei MS-Windows entwickelt es sich jedoch zu einem Dauerbrenner: Beinahe täglich werden neue Sicherheitslücken entdeckt, die immer wieder die Endanwender betreffen. Die Firma Microsoft vertritt derzeit die Philosophie, alle ihr bekannt gewordenen Sicherheitsprobleme jeden zweiten Dienstag im Monat zu veröffentlichen. Meistens ist es dann nur mehr eine Frage der Zeit, bis ein Virus, Wurm oder Trojaner im Netz auftaucht, der die Sicherheitslücke für seine Zwecke ausnutzt.

Böse Software

Unerwünschte, schädliche und/oder sich selbst verbreitende Programme werden als Malicious Software (kurz Malware) bezeichnet. Im wesentlichen unterscheidet man dabei drei Kategorien:

  • Ein Virus ist ein selbstreplizierendes Programm, das in der Regel auf dem befallenen Rechner verschiedene Störaktionen ausführt. Bis zum Auslösen dieser Störaktionen agiert das Virus meist ohne Wissen des Benutzers. Viren verbreiten sich passiv auf lokalen Systemen (Festplatten und Windows-Shares): Sie infizieren intakte Anwendungsprogramme, indem sie ihren eigenen Programmcode in deren Befehlskette einschleusen. Beim Starten der Anwendung wird dann vorher das Virus ausgeführt.

  • Ein Wurm kopiert sich selbsttätig über das Netzwerk auf andere Rechner weiter, wobei er oft bestehende Sicherheitslücken ausnutzt. Im Unterschied zu Viren vermehren sich Würmer nicht über Wirtsprogramme, sondern schreiben üblicherweise neue Dateien auf die Festplatte des Opfers oder ersetzen vorhandene Dateien. Eine große Gefahr von Wurmattacken liegt in ihrer enormen Verbreitungsgeschwindigkeit und der daraus resultierenden Netzbelastung: Innerhalb weniger Minuten können dadurch ganze Netzwerke bzw. sogar große Teile des Internet lahm gelegt werden.

  • Ein Trojanisches Pferd (kurz, wenn auch nicht ganz korrekt: Trojaner) ist per Definition eine Software, die auf dem Rechner eines Benutzers ohne dessen Wissen als Agent eines Angreifers agiert, also im Prinzip jedes Programm mit einer verborgenen Absicht. Trojanische Pferde geben häufig vor, etwas Nützliches zu tun bzw. tun dies wirklich; gleichzeitig führen sie aber auch unerwünschte Aktionen aus - vom Ausspähen der Benutzerdaten und Passwörter bis zur totalen Übernahme des Systems. Trojaner verbreiten sich in der Regel nicht aktiv weiter, sondern werden entweder von Hackern gezielt eingeschleust oder vom Benutzer "eingeladen": beispielsweise durch das Öffnen von eMail-Attachments, durch Mausklicks auf aktive Web-Inhalte oder durch die Installation verseuchter Freeware- oder Shareware-Programme.

Die Grenze zwischen den verschiedenen Schädlingen ist fließend - Viren und Würmer können auch Trojanerfunktionen mit übertragen. Ein Trojanisches Pferd kann also zum Beispiel durch ein Virus, einen Wurm, ein eMail-Attachment, einen Hacker und sogar durch Zustimmung des Benutzers in das System gelangen. Die Vielfalt der Ausbreitungsmethoden und versteckten Tätigkeiten von Trojanern ist bedrückend.

Wer ist der Feind?

Trojanische Pferde sind ein bunter Haufen: Es gibt unter anderem Adware, Spyware, Trickleware, Browser Helper Objects, RATs, Rootkits, Key Logger, Hijacker, Dialer, Dropper, Loader, Binder und Nuker. Trojaner können den ahnungslosen Benutzer ausspähen, sein Verhalten analysieren, Tastatureingaben mitlesen, ihm bestimmte Informationen aufdrängen, sensible Daten an Dritte weiterleiten und sogar Hintertüren für Hacker öffnen, indem sie den Zugriff von außen auf den Rechner über bestimmte Ports erlauben. Berüchtigt sind z.B. die so genannten Dialer, die Internetverbindungen über die Telefonleitung aufbauen - und mitunter statt der vom Benutzer vorgesehenen Nummer teure 0900- oder 01900-Nummern anwählen. Einen Dialer erhält man oft durch einen unbedachten Mausklick im Browser. Andere Trojaner tarnen sich, indem sie sich als hilfreiche Zusatzprogramme ausgeben oder sich - wie Rootkits - den Augen des Benutzers überhaupt entziehen.

Adware

Als Adware bezeichnet man Programme, die angeblich nützliche Extrafunktionen bringen und nur mit expliziter Zustimmung des Benutzers installiert werden. Zu dieser Gruppe gehören auch die so genannten "Download-Beschleuniger" - die tatsächlich Download-Bremsen sind, da sie für Abfragen und Informationen des Werbeträgers einen guten Teil der vorhandenen Bandbreite verbrauchen.

Adware registriert oft die persönlichen Daten und Gewohnheiten des Benutzers und sendet diese an einen zentralen Server. Der Benutzer kann sich dagegen rechtlich kaum zur Wehr setzen - schließlich hat er bei der Installation ausdrücklich der Informationspolitik (Policy) des Werbeträgers zugestimmt bzw. wurde informiert, wo er diese im WWW nachlesen kann.

Beispielsweise wird derzeit bei vielen Versionen des Peer-to-Peer(P2P)-Programms KaZaa die Adware Bullguard mitgeliefert: Bullguard ist ein so genannter Data Miner, der unter anderem den Namen des Benutzers, seine eMail-Adresse, Informationen über die auf dem PC installierten Anwendungen sowie Kreditkarteninformationen sammelt und an Tochterfirmen, Geschäftspartner usw. des Herstellers weiterleitet. Dies ist im End-User License Agreement von Bullguard explizit angeführt; auf der Webseite von Bullguard erfährt man, dass die Offenlegung der Policy nur zur Information des Benutzers dient und dass dieser keinerlei Anspruch darauf hat, dass die Firma sich daran hält. Zur Ehrenrettung von Bullguard sei gesagt, dass dies durchaus branchenüblich ist.

Eine extreme Verbreitung erlebt derzeit die Adware StopSign, die "huckepack" mit mehreren P2P-Programmen mitkommt. StopSign dient als Träger für Werbeeinschaltungen; nebenbei stoppt es verschiedene Security-Programme (Firewalls, Virenscanner) auf dem Rechner des Opfers. Wenn es dazu selbst nicht in der Lage ist, wird der Benutzer aufgefordert, dies zu tun - mit durchaus plausibel klingenden Anfragen: Beispielsweise schlägt die Software vor, das Programm Norton Antivirus temporär abzuschalten, weil ein "Initialisierungskonflikt" bei der Installation von StopSign besteht. StopSign wird beim Starten des Rechners in dessen Arbeitsspeicher geladen und bleibt dadurch selbst nach der Entfernung des Programms noch aktiv. Darüber hinaus ist StopSign ein so genannter Loader, d.h. es lädt, installiert und startet heimlich weitere Programme auf dem PC des Opfers. Installiert der Benutzer bestimmte Personal Firewalls (Sygate, ZoneAlarm) nach StopSign, können die betroffenen PCs nicht mehr starten.

Spyware

Spyware funktioniert ähnlich wie Adware, allerdings mit zwei gravierenden Unterschieden: Zum einen wird der Benutzer über die Präsenz des Trojaners nicht informiert, zum anderen kann dieser auch durch eine Deinstallation der jeweiligen Trägersoftware (z.B. KaZaa) nicht entfernt oder gestoppt werden.

Sehr verbreitet ist beispielsweise Aureate/Radiate - eine Spyware, die mit Freeware-Virenscannern, Bildschirmschonern, Spielen, HTML-Convertern, ZIP-Software, Callcenter-Software usw. "frei Haus" geliefert wird. Aureate informiert seine zentralen Server zunächst über den Benutzer des bespitzelten PCs: Sein Name, seine Internetadresse und eine Liste aller installierten Softwareprodukte werden aus dem PC ausgelesen und weitergeleitet. Anschließend wird den Aureate-Servern über jede Browseraktivität und alle Datei-Downloads berichtet; wenn der Benutzer einen Modemzugang verwendet, werden auch die Telefonnummer des Providers und das Zugangspasswort übermittelt.

Ein häufig anzutreffender Vertreter der Spyware ist auch der BDE Projector, der sich oft als Anhängsel von P2P-Software auf dem Rechner einnistet (z.B. war er Teil älterer KaZaa-Versionen). "Im Interesse des Anwenders", der mit diesem Werkzeug alle Arten von digitalen Medien suchen, erhalten und wiedergeben kann, verfolgt die Software jede Aktion des Benutzers und des Browsers und berichtet darüber einem zentralen Server. Der BDE Projector lädt Updates und andere Programme aus dem Internet, ohne den Benutzer darüber zu informieren. Da er diese Software nur auf dem PC ablegt, ohne sie zu starten, ist er zur Klasse der Dropper zu zählen. Nebst allen anderen Übeln bewirkt der BDE Projector aufgrund seiner engen Verknüpfung mit Grafikbeschleunigern und Musikwiedergabefunktionen im Betriebssystem auch oft Systemabstürze oder starke Performance-Einbußen.

Die "Elite" unter der Spyware ist die so genannte Trickleware: Diese spioniert ebenfalls persönliche Informationen und Gewohnheiten des Anwenders aus, tarnt ihre Präsenz im System aber zusätzlich durch sehr geschicktes Timing der Datenübermittlung an die zentralen Server.

Browser Helper Objects

Browser Helper Objects (BHOs) sind Programme, die innerhalb des Webbrowsers aktiv sind. Dadurch sitzen sie sozusagen "an der Datenquelle" und wissen über jede aufgerufene Webseite Bescheid. Der Erfinder dieser Softwaretechnik ist Microsoft: BHOs sollten ursprünglich dazu dienen, Webseiten mit unerwünschtem Inhalt für Kinder zu sperren.

Ein verbreitetes BHO ist HotBar, das oft bei iMesh beigepackt ist bzw. sich per eMail als vermeintliches Outlook-Update zu verbreiten versucht. HotBar "befällt" sowohl den Internet Explorer als auch MS-Outlook. Der Benutzer wird zwar gefragt, ob er HotBar installieren will; jedoch führt auch eine Ablehnung zu einer teilweisen Installation der Software. Aus dem SignUp-Fenster erfährt HotBar neben Name, Telefonnummer, Anschrift, Mailadresse und Geburtstag des Benutzers auch sein Arbeitsgebiet. Der Internet Explorer erhält durch zusätzliche Schaltleisten ein neues Aussehen.

BHOs haben volle Kontrolle über den Browser. Auch ActiveX-Applets, die der Browser - oft vom Benutzer unbemerkt - über eine Webseite lädt, können BHOs sein. Eine besonders bösartige Variante davon sind die so genannten Hijacker: Sie bewirken, dass der Benutzer manche Seiten nicht mehr ansteuern kann, oder sie verbinden ihn stur nur mehr mit einer bestimmten Werbeseite.

Viele Wege führen nach Troja

Neben eMail gibt es heute für Trojaner vor allem drei Verbreitungswege: Sicherheitslücken des Betriebssystems, Freeware- und Shareware-Programme mit "Nebenwirkungen" sowie aktive Web-Inhalte, die durch allzu sorgloses Surfen im Internet auf den Rechner gelangen.

Sicherheitslücken

Sicherheitslöcher in Betriebssystemen entstehen üblicherweise durch mangelnde Sorgfalt des Herstellers; die häufigsten Ursachen sind Designfehler der Software oder Schlampigkeitsfehler im Code - meist bedingt durch die weit verbreitete "Featuritis" (der Zwang, bei jeder Version einer Software einige neue Funktionen anzubieten) und den enormen Zeitdruck in der IT-Branche. Der Programmcode von MS-Windows umfasst mehrere Millionen Zeilen, sodass die Existenz zahlreicher Sicherheitslücken nicht verwunderlich ist.

Eine Sicherheitslücke wird oft durch Zufall gefunden. Glücklicherweise ist es meistens der Softwarehersteller selbst, der bei seinen Weiterentwicklungen den Fehler entdeckt, ihn korrigiert und eine entsprechende Softwarekorrektur (Security Patch) im Internet zur Verfügung stellt. Spätestens ab diesem Zeitpunkt wissen auch Hacker über die Sicherheitslücke Bescheid; daher ist es extrem wichtig, vorhandene Security Patches umgehend zu installieren (idealerweise mit Hilfe der Funktion Automatische Updates).

Als Beispiel für die nachhaltige Verheerung, die Sicherheitslücken auslösen können, sei der MS-Blaster-Wurm genannt, der sich seit August 2003 von Windows-PC zu Windows-PC fortpflanzt, indem er ein bekanntes Sicherheitsproblem ausnutzt. Zwar gab es beim ersten Auftreten des Wurms längst einen entsprechenden Patch von Microsoft; viele Windows-Benutzer hatten diesen jedoch nicht bzw. nur in einer fehlerhaften Version installiert (Microsoft konnte das Problem erst im zweiten Anlauf vollständig beheben). MS-Blaster verbreitete sich entsprechend rasant. Parallel dazu beobachteten zahlreiche Netzwerkadministratoren massive Scans nach einem bestimmten geöffneten Port auf allen Rechnern mit Internetanschluss. Bald war klar: Im Wurm steckte ein Remote Access Trojan (RAT), der auf unzähligen infizierten Rechnern einen Administrator-Zugang von außen über Port 4444 öffnete - die Hacker mussten die befallenen Rechner nur noch mittels Portscans ausfindig machen.

Auch der Bugbear-Wurm, der seit Herbst 2002 bekannt ist und sich über eMail und Netzwerkfreigaben (Windows-Shares) verbreitet, ist ein RAT. Via eMail nutzt er eine Sicherheitslücke in MS-Outlook bzw. Outlook Express und wird sofort aktiv, wenn die Nachricht gelesen wird bzw. die Vorschaufunktion aktiviert ist. Der Wurm öffnet ein bestimmtes Port für den Zugang von außen und beendet jede ihm bekannte Antiviren- und Firewall-Software. Zusätzlich installiert er einen so genannten Key Logger (ein Programm, das Passwörter sammelt) und sendet an alle freigegebenen Netzwerkdrucker unsinnige Druckaufträge, sodass es auch zu einer Blockade von Druckern kommen kann. Die Präsenz eines Bugbear-Wurms ist für aufmerksame Benutzer daran erkennbar, dass im Infobereich der Taskleiste ein durchgestrichenes Programmsymbol erscheint (siehe Abb. 1), wenn eine vorhandene Antiviren-Software bzw. Personal Firewall plötzlich gestoppt wird.

 

Abb. 1: Infobereich mit gestoppter Personal Firewall (Windows XP)

 

Freeware und Shareware

Während Sicherheitslöcher im Betriebssystem dem Hersteller angekreidet werden können, ist in den meisten anderen Fällen der Benutzer durch sein Verhalten selbst schuld an der Misere. Ein besonders häufiger Fehler ist das oft zu vertrauensselige Installieren (häufig sogar als Administrator!) von unbekannten Freeware- oder Shareware-Programmen. Viele davon sind jedoch nur deshalb so "kostengünstig", weil sich der Entwickler seinen Lohn noch von einer dritten Stelle holt - z.B. indem er dem Produkt Adware oder Spyware beipackt, die dann Werbefirmen gezielt über die Vorlieben des Opfers informiert.

Ein besonders bequemer Ausbreitungsweg für binäres Ungeziefer sind Peer-to-Peer(P2P)-Programme, also z.B. Austauschbörsen wie KaZaa oder Morpheus. Damit lässt sich jede Firewall umgehen, die den Benutzer nicht auf ganz wenige Systeme außerhalb der eigenen Organisation einschränkt. P2P-Programme sind das internetweite Analogon zu Netzwerklaufwerken (Windows-Shares): So wie die Verbreitung von Viren über Netzwerklaufwerke eine Gefahr für einzelne vernetzte PCs darstellt, werden P2P-Mechanismen zum weltweiten Träger von Malware aller Art. Die für P2P-Programme freigegebene Festplattenkapazität von Anwender-PCs (die als verteilter Speicher für die auszutauschenden Objekte verwendet wird) ist heute der größte vernetzte Speicherplatz der Welt. Da der Benutzer praktisch keine Kontrolle über die dort abgelegten Daten hat, sammeln sich in diesen Festplattenbereichen alle möglichen Inhalte - Programme oder Dateien mit kriminellem Inhalt können hier genauso verteilt werden wie Musik oder Videos. Der vor kurzem ausgebrochene Wurm MyDoom/Novarg verwendet z.B. auch die Speicherbereiche von KaZaa zur Verbreitung.

Aktive Web-Inhalte

Über das WWW kann man bösartige Software ebenfalls wunderbar verteilen; vor allem Microsofts ActiveX und die berüchtigten (beim Internet Explorer mittlerweile innerhalb des ActiveX-Kontextes laufenden) Java-Applets sind aufgrund ihrer diversen Sicherheitslücken bei Designern von Malware sehr beliebt. Auch der Internet Explorer selbst steht immer wieder wegen Security-Problemen in den Schlagzeilen - eine seiner zuletzt entdeckten Sicherheitslücken ermöglichte es Betreibern einschlägiger Webseiten, Software ohne Rückfrage auf den PCs der Besucher zu installieren und zu starten. Beim Internet Explorer sollte man daher besonders auf dessen Sicherheitseinstellungen achten und diese von Zeit zu Zeit auch verifizieren. Wer sein Risiko reduzieren will, verwendet aber sinnvollerweise einen anderen Browser: Zwar haben auch Netscape, Mozilla, Opera usw. immer wieder Sicherheitsprobleme, aber bei weitem nicht so oft wie der Internet Explorer.

Ein weiterer Risikofaktor sind Sicherheitslöcher in der Webserver-Software, die ebenfalls schon so manchen Wurm (z.B. Code Red, Nimda) möglich gemacht haben. Wenn Sie auf Ihrem Rechner einen Webserver betreiben, sollten Sie daher unbedingt darauf achten, das System im Hinblick auf Security Patches stets aktuell zu halten.

Hilfe - ein Hacker!

Adware und Spyware verfolgen in der Regel hauptsächlich kommerzielle Ziele und richten daher im allgemeinen etwas weniger Schaden an als andere Trojaner (insbesondere Rootkits), die den kriminellen Zwecken von Hackern dienen. Leider ist die Uni Wien für die meisten Hacker durchaus interessant - allerdings weniger wegen ihrer Daten als aufgrund ihres Netzwerkstandorts: Da das Datennetz der Universität über eine relativ hohe internationale Bandbreite verfügt, kann eine von ihm ausgehende Störaktion im Netz großen Schaden anrichten.

Der Angriffszyklus eines Hackers verläuft dabei fast immer nach demselben Schema:

  • Zuerst durchsucht der Hacker mittels so genannter Portscans das Netz nach Rechnern, die offene Ports und damit einen Eingang ins System aufweisen.
  • Im nächsten Schritt überprüft er das Betriebssystem der angreifbaren Rechner genauer - und wird bei einem Teil davon zweifellos Angriffspunkte finden.
  • Nun bricht er mit einem geeigneten Programm in das System ein. War der Angriff erfolgreich, werden sofort die Spuren vernichtet: Der echte Administrator soll tunlichst keine Möglichkeit zur Rückverfolgung erhalten.
  • Im letzten Schritt nistet er sich mittels Trojaner ein und versucht seine Rechte zu halten bzw. auszubauen.
  • Von diesem Unterschlupf aus kann er dann wieder von vorne beginnen (Portscans, Schwachstellen identifizieren, Angriff, Einnisten im System) - mit dem zusätzlichen Vorteil, dass die neu dazu gewonnene Ausgangsbasis seine Herkunft verschleiert.

Ungenügend geschützte Systeme stellen daher nicht nur für ihren Besitzer, sondern für alle Internet-BenutzerInnen ein ernsthaftes Risiko dar. Besonders bedenklich ist dabei die Tatsache, dass durch das Internet bösartige Programme aller Art auch in die Hände von Leuten gelangen, die ansonsten von ihrem Wissensstand her gar nicht in der Lage wären, eine vergleichbare Software zu erfinden oder einzusetzen.

Die einzige wirkungsvolle Vorbeugungsmaßnahme besteht aus der (mittlerweile auch von Microsoft aufgegriffenen) Dreier-Kombination aus automatischen Sicherheits-Updates, Virenscanner und Personal Firewall. Extrem wichtig ist diese "Kombi-Abwehr" bei Notebooks, die in verschiedenen Netzwerken verwendet werden und somit ideale Überträger für binäres Ungeziefer aller Art bilden.

Wer suchet, der findet: Trojanerjagd

Für alle: Ad-aware

Das Scanprogramm Ad-aware ist in der Lage, die meisten Trojaner aufzuspüren und auszuschalten. Zu diesem Zweck sucht Ad-aware (im Gegensatz zu Virenscannern) nicht nur in Dateien, sondern auch in der Windows-Systemregistratur (Registry) nach problematischen Einträgen. Um Trojanern möglichst wenig Spielraum für Aktivitäten zu geben, muss die Suche regelmäßig durchgeführt werden; angesichts des geringen Zeitaufwands (je nach eingestellter Scan-Genauigkeit etwa eine Minute pro Suchlauf) sollte dies aber kein Problem darstellen.

Ad-aware wird in einer Freeware- und einer kommerziellen Version angeboten. Der Unterschied besteht darin, dass das käufliche Produkt ein Modul namens Ad-watch enthält, das wie ein Virenscanner arbeitet, d.h. Ungeziefer bereits bei seinem Installationsversuch abblockt. Für die Freeware-Version von Ad-aware (die nur vorhandene Trojaner findet) gilt natürlich ebenfalls die oben beschriebene Gefahr unerwünschter Nebenwirkungen. Wir haben Ad-aware 6.0 daher mit allen verfügbaren Mitteln gründlich untersucht. Obwohl keinerlei Auffälligkeiten gefunden werden konnten, bleibt - wie bei jeder Software - ein gewisses Restrisiko, dass das Programm in einer neuen Version neben seinem eigentlichen Aufgabengebiet plötzlich zusätzliche Aktivitäten zeigt.

Die Freeware-Version von Ad-aware ist unter http://www.lavasoft.de/ (bzw. für Mailbox-BenutzerInnen auch unter http://swd.univie.ac.at/ als Gratissoftware) erhältlich. Für ein wirkungsvolles Eingreifen benötigt Ad-aware analog zu einem Virenscanner nach der Installation (und danach in regelmäßigen Zeitabständen) die jeweils aktuellste Datenbank mit den Signaturen der bekannten Trojaner. Dieses Update wird durch einen Klick auf den Link Check for updates now im Status-Fenster von Ad-aware durchgeführt (siehe Abb. 2). Bei Verfügbarkeit einer neuen Version der Datenbank muss der Anwender bestätigen, dass er sie downloaden und installieren will, was dann mit wenigen Mausklicks erledigt ist.

Abb. 2: Ad-aware 6.0 - Fenster Status

Der Scan wird durch Anklicken der Start-Schaltfläche im Status-Fenster in Gang gesetzt. Es erscheint das Fenster Preparing System Scan, in dem Sie den Scan-Modus einstellen können. Die erste, voreingestellte Option Perform smart system-scan ist ein durchaus vernünftiger Kompromiss zwischen kurzer Laufzeit und ausreichender Genauigkeit des Scans und kann für den Alltagsgebrauch ruhigen Gewissens verwendet werden. Es empfiehlt sich aber, mindestens einmal wöchentlich einen kompletten Scan über alle Laufwerke vorzunehmen. Wählen Sie dazu im Fenster Preparing System Scan die Option Select drives/folders to scan und definieren Sie die zu scannenden Laufwerke durch einen Klick in das entsprechende Kontrollkästchen.

Der Suchvorgang selbst verläuft wie bei einem herkömmlichen Virenscanner. Ist er abgeschlossen, erhält man eine kurze Zusammenfassung der Ergebnisse; anschließend sollte man sich durch einen Klick auf die Schaltfläche Show Logfile (links unten im Ergebnis-Fenster) die Treffer etwas genauer ansehen.

Das Logfile zeigt zuerst jedes im System derzeit laufende Programm (jeden aktiven Prozess) unter Angabe seiner Herkunft, sodass sich Programme unklarer Herkunft identifizieren lassen. Anschließend werden alle Objekte angeführt, die der Klasse des binären Ungeziefers angehören. Durch einen Klick auf die Schaltfläche Next werden in einer kurzen Zusammenfassung alle "verdächtigen" Systemeinträge angezeigt (siehe Abb. 3). Aktivieren Sie das Kontrollkästchen ganz links, um ein Objekt für das Entfernen durch Ad-aware freizugeben.

Abb. 3: Ad-aware 6.0 - Fenster Scanning results

Drei Objekte, die von Microsoft selbst stammen, finden sich auf fast jedem Windows-Rechner: Der Alexa Data Miner (Spyware) ist für die What's Related-Links des Internet Explorer verantwortlich. Alexa verfolgt Ihre Gewohnheiten beim Surfen im Netz, um Ihnen Links anzeigen zu können, die Sie vermutlich interessieren. Ein weiterer "MS-Trojaner" ist der MediaPlayer (2 Objekte), der Microsoft über die von Ihnen wiedergegebenen Stücke informiert. Im Sinne Ihrer Privatsphäre ist es sinnvoll, Alexa und den MediaPlayer von Ad-aware stoppen zu lassen.

Achtung: Wenn auf Ihrem PC eine Personal Firewall läuft, müssen Sie für die Update-Funktion der Datenbank den ausgehenden Datenverkehr auf den Rechner 66.117.38.101 (Zielport 80) für das Programm Ad-aware freigeben.

Für Profis: Selber suchen

Wer es sich zutraut, kann natürlich auch eigenhändig sein System nach verdächtigen Einträgen durchforsten. Für diesen Zweck ist es hilfreich, wenn man unmittelbar nach der Neuinstallation von MS-Windows und der vorgesehenen Anwendungsprogramme (z.B. MS-Office) eine Kopie der Windows-Registry anfertigt und außerhalb des Systems auf einer CD oder Diskette speichert: Sofern man über die nötige Geduld und Sachkenntnis verfügt, hat man damit jederzeit die Möglichkeit, neue oder modifizierte Registry-Einträge zu finden. Unter Windows 2000 und Windows XP wird die Registry mit dem Programm regedit aufgerufen. Beliebte Verstecke für Trojaner sind vor allem die systemrelevanten Einträge (beginnend mit HKEY_LOCAL_MACHINE, HKEY_CURRENT_CONFIG und HKEY_CLASSES_ROOT) und die benutzerrelevanten Einträge (beginnend mit HKEY_CURRENT_USER und HKEY_USERS). Eine Liste von Einträgen, die für einen Vergleich mit einer gesicherten Registry besonders empfehlenswert sind, finden Sie auf den Security-Seiten des ZID.

Zusätzlich verbergen sich Trojaner gern in Dateien, die nur beim Systemstart (und auch da oft nur nach der Installation neuer Software) ausgeführt werden - z.B. c:\windows\winstart.bat und c:\windows\wininit.ini. Einen Überblick über die beim Systemstart ausgeführten Programme erhält man bei Windows XP (als Administrator!) unter Start - Ausführen: Tippen Sie hier msconfig ein und wählen Sie die Registerkarte Systemstart.

Ein modernes Rootkit wird man auf allen diesen Wegen jedoch vergeblich suchen, da es selbstverständlich alle benötigten Registry- und Dateieinträge ausblendet. Bei Rootkits kann es manchmal hilfreich sein, die Festplatte des Betriebssystems über ein Netzwerklaufwerk (Windows-Share) einem anderen Rechner zur Verfügung zu stellen und sich von dort aus umzusehen. Aber Achtung: Schalten Sie zuvor die Miniaturansichten des Systems aus (siehe Goldene Regeln - Systemkonfiguration - Punkt 2) - Sie könnten sonst aus Versehen den Trojaner aktivieren, indem Sie auf ein vermeintliches Dokument-Symbol klicken!

Alarmstufe Rot: Rootkits

Rootkits sind die mächtigsten und tückischsten aller Trojaner: Diese Software-Werkzeuge (Kits) verschaffen dem Angreifer alle Rechte des Administrators (unter Unix Root genannt) und somit volle Kontrolle über das befallene System. Zusätzlich sind sie in der Lage, ihre Existenz durch gefinkelte Mechanismen nahezu perfekt zu verschleiern. Ein Rootkit ist daher der ultimative Schrecken jedes Systemverantwortlichen.

Während Rootkits in der Unix-Welt schon lange ein Problem darstellen, sind Windows-Rootkits relativ neu: 1999 wurde erstmals gezeigt, dass es technisch möglich ist, in den Betriebssystem-Kern von MS-Windows einen Trojaner einzubauen. Ein Angriff auf dieser Ebene umgeht sämtliche Sicherheitsvorkehrungen des Systems. Windows-Rootkits - die glücklicherweise derzeit noch eher selten anzutreffen sind - verstecken sich gern in DLLs (Dynamic Link Libraries) oder tarnen sich als Gerätetreiber. Sie setzen üblicherweise bei den Schnittstellen zwischen Anwendungsprogrammen und Betriebssystem-Kern (Application Programming Interfaces, kurz APIs) an und filtern jede Kommunikation zwischen der Anwendung und dem Betriebssystem. An dieser Stelle kann der Angreifer den Datenfluss manipulieren und somit dem ahnungslosen Administrator eine heile Welt vorgaukeln. Auch der Systemleerlauf-Prozess, der immer dann aktiv ist, wenn der Windows-PC nichts zu tun hat, ist ein ideales Versteck für Rootkits: Dadurch, dass der Trojaner nur bei Leerlauf tätig wird, bleiben allfällige Performance-Einbußen aufgrund verborgener Aktivitäten garantiert unbemerkt.

Rootkits bestehen typischerweise aus mehreren Komponenten:

  • Die "Hintertür" (Backdoor) für den Angreifer sichert diesem uneingeschränkten Zugang zum System - unter Windows als Administrator. Gängige Backdoor-Methoden sind z.B. bestimmte Benutzername-/Kennwort-Kombinationen zur Autorisierung gegenüber einem Service des Systems oder zusätzliche Programme, die dem Angreifer volle Rechte erteilen.
     
  • Die Trojaner-Komponente stellt sicher, dass alle zum Rootkit gehörigen Dateien sowie die anfallenden Daten unsichtbar bleiben. Zu diesem Zweck kann der Trojaner sogar die Systemereignis-Protokolle (Logfiles) bzw. den Windows Task-Manager manipulieren. Meistens ist dies jedoch überflüssig: Programme, die der Hacker für seine Schandtaten benötigt, werden normalerweise bei ihrer Ausführung gar nicht erst angezeigt. Der echte Administrator sieht in der Systemanzeige von den verdeckt durchgeführten Aktionen in der Regel nichts - und wenn er zufällig doch einmal einen Process Identifier (PID) des Trojaners entdeckt, bleibt jeder Versuch, diese Anwendung zu stoppen, erfolglos.
     
  • Oft sind auch Key Logger oder Packet Sniffer integriert, um weitere Benutzerberechtigungen auszuspähen.
     
  • Zu guter Letzt wird meist noch die ursprüngliche Lücke geschlossen, durch die der Angreifer ins System kam: So kann ihm kein anderer Hacker den übernommenen Rechner streitig machen.

Ist ein Rootkit erst einmal installiert, wird es schwierig. Handelsübliche Virenscanner versagen - sie können nur auf der Programmebene suchen und müssen sich darauf verlassen, dass das Dateisystem ihnen vollen Zugang zu allen Daten gewährt. Ein Scanprogramm für Rootkits muss aber den Betriebssystem-Kern durchsuchen und darf sich auf nichts verlassen: Da ein Rootkit imstande ist, die Ausführung eines Programms auf beliebige andere umzuleiten, kann es sogar die korrekte Ausführung des Scanprogramms unterbinden.

Ein Virenscanner hat gegen ein Rootkit nur dann eine Chance, wenn es ihm gelingt, eine Signatur des Trojaners vor dessen Installation zu erkennen und sein Einnisten zu verhindern. Daher ist der ununterbrochene Betrieb eines Virenscanners mit stets aktueller Virendatenbank die beste Vorbeugungsmaßnahme gegen Windows-Rootkits. Weitere Informationen zu diesem Thema finden Sie unter http://www.rootkit.com/.