a-squared Anti-Malware und Mamutu Verhaltensanalyse - Malware Scanner, Remover und Schutz vor neuen Infektionen von Viren, Spyware, Trojanern, Bots, Backdoors.
KNOWLEDGEBASE
- Artikel Übersicht
- Alle News
- Malware Datenbank
- Portliste
- Malware-IDS
- Online Hilfe
- Newsletter abonnieren
NEWS
-
17.11.2009:
Warnung vor neuer Russian Connection: Millionen-Dollar-Ente aus dem Kreml! -
05.11.2009:
Folgen Sie uns bei Twitter! -
16.09.2009:
a-squared und Windows 7 News -
12.08.2009:
Hattrick für a-squared Anti-Malware! 3 Testsiege -
28.07.2009:
Mamutu 2.0 veröffentlicht!
PRODUKTE
A-SQUARED IM TEST
UNSERE TESTSIEGE:
Oktober 2009:
1. Platz für a-squared Anti-Malware
99,8% bei MRG Scanner Test #21!
malwareresearchgroup.com
September 2009:
Beste Erkennung in allen Kategorien!
COM! Magazin Test
August 2009:
1. Platz: a-squared Anti-Malware
99.9% statische Erkennung im Test
PC Security Labs
Juni 2009:
1. Platz für a-squared Anti-Malware
99,7% bei MRG Scanner Test #19!
malwareresearchgroup.com
November 2008:
99,84% Erkennungsrate beim
Antiviren-Vergleichstest von
PC Security Labs!
August 2008:
"Von den getesteten Scannern,
arbeitete a-squared von Emsisoft
signifikant besser als die anderen"
Dozleng.com Vergleichstest
AUSZEICHNUNGEN
Aufgrund der hervorragenden
Gesamtleistung wurde der
ProtectStar Award verliehen.
Beste statische Erkennung!
ZDNet Tagestipp
"Our favorite malware-masher:
a-squared Anti-Malware!"
SecuritySoftwareZone Bestwertung
Tucows 5 Kühe!
"Was Würmer und Spyware, aber
auch Trojaner angeht, ist
a-squared Anti-Malware kaum zu schlagen."
ZDNet Tagestipp
Trojaner und die Wirkung als Remotecontroller & Backdoors
© 2003 by Marko Rogge
Im Grunde sind Trojaner (benannt nach der Sage um das Trojanische Pferd) kleine Programme, die das jeweils infizierte Betriebssystem ausnutzen und sich eine Hintertür schaffen (daher auch oft als Backdoor bezeichnet).
Viele sehr gute Trojaner wurden in der Tat von den Programmierern aus dem Grunde geschaffen, um Server und fremde Computer zu supporten.
Support bedeutet in diesem Fall eine technische Unterstützung und die Wartung eines entfernten Computersystems.
Dabei ist es natürlich unabdingbar, dass der Administrator, der sich eines Trojaners bedient, erlaubten Zugriff auf einen Computer hat.
Man spricht auch von einer Authorisation.
Viele Systemadministratoren verwenden Trojaner und wissen nicht um die Gefahren, die damit verbunden sind.
Systemadministratoren sollten hierbei die Tatsache beachten, dass fremde Benutzer z.B. Sub Seven im Internet suchen lassen können, um einen infizierten Computer zu finden oder besser: einen Sub Seven Server zu finden, der aktiv ist.
Der dann gefundene Computer kann dann genauso problemlos ausgebeutet werden und das mit Ihrer Hilfe.
Die Möglichkeiten sind hier sehr weitreichend.
Es beginnt mit der Möglichkeit, dass ein vermeintlicher Angreifer die Information hat, dass Sie als Systemadministrator ein Computersystem mit einem Sub Seven supporten bzw. das Computersystem damit fernwarten.
Nun kann der Angreifer beginnen, das Computersystem ausfindig machen, um zu schauen, wo sich der Computer befindet, der von Ihnen administriert wird.
Dies kann er über einen normalen IP Scaner versuchen oder mittels eines kleines Programmes, das für Sub Seven erhältlich ist.
Das zusätzliche Programm kann das Internet oder nur spezielle IP Ranges auf mit Sub Seven verseuchte Computer absuchen.
Der IP Scaner sieht wie folgt aus, wobei hier nur der Test local aus geführt und dargestellt wird:
Hat man nun einen Server gefunden, kann man mit einem Angriff beginnen und schauen, ob man das Modul zunächst einfach ansteuern kann.
Wie das geht, sieht man, wenn man Sub Seven startet und die IP des Computers eingibt, den man ansteuern oder ausbeuten will.
Dieses Vorgehen kann ich aber nur erfahrenen Benutzern empfehlen, da man sich somit infiziert und die Gefahr eines Angriffes bevorstehen kann.
Trojaner bestehen in der Regel aus einem steuerbaren Modul (Client) und einem gesteuertem Modul (Server) welches beim Opfer zu finden ist.
Der Server kann verschiedene Aufgaben automatisch übernehmen, wobei es sich häufig um das Ausspionieren von Passwörtern und Dateien handelt.
Diese können dann per E-Mail verschickt werden oder direkt vom Angreifer per steuerbarem Modul abgerufen werden, wenn das Opfer "online" ist.
Das Trojanische Pferd kann sich in diesem Fall (wenn das Opfer, oder auch Victim genannt, online ist) beim Angreifer melden und seine Bereitschaft melden.
Der Angreifer mit einem Trojaner hat vorher die Möglichkeit, über einen Editor das Servermodul entsprechend anzupassen.
Die oben genannten Funktionen lassen sich dort einstellen und werden dann als Server verschickt.
In den meisten Fällen werden Server von Trojanern als *.exe Datei per E-Mail oder ICQ verschickt.
Hier im Beispiel das Server-Editor-Modul des Sub Seven 2.2:
Somit liegt dem Angreifer der Computer des Opfers offen und er kann sich in Ruhe nach interessanten Daten umschauen.
Vergessen Sie nicht,dass Ihr Computer alle Daten und Befehle, die durch Sie ausgeführt wurden, in temporären Dateien speichert.
Damit aber noch nicht genug, denn wenn ein Trojaner (der sich fast immer automatisch mit dem Betriebssystem startet) erstmal die Arbeit aufgenommen hat, kann auch ein anderer diesen benutzen und Sie ausspionieren.
Hierbei gehen wir davon aus, dass der Server nicht mit einem Passwort durch den Angreifer geschützt wurde.
Die Möglichkeit besteht durchaus, dass ein Angreifer diesen Server mit einem Passwort versieht, damit niemand anderer seinen Server verwenden kann.
Auch hier möchte ich Ihnen einige Beispiele aufzählen, die Sie bestimmt auch schon einmal im Internet gelesen oder von Freunden gehört haben:
- Sub Seven (oder auch Sub7, Gold etc.)
- Back Orifice / 2000 etc. (auch BO2K)
- Master Paradise
- Asylum Trojaner
- Der Spaeher
- Hack a Tack
Hier im Beispiel sehen Sie das Clientmodul des Trojaners Sub Seven 2.2:
Ein entsprechendes Server Modul, das ein Opfer geschickt bekommt, kann unterschiedlichste Namen erhalten und wird meistens per E-Mail verschickt.
Auch das Aussehen kann immer wieder anders sein, da Icons und kleine Bilder eingebunden werden können.
Aussehen kann es wie folgt:
Eine kleine Datei wie diese ermöglicht das für viele Unglaubliche: die volle Kontrolle und den absoluten Zugriff auf einen fremden Computer.
Ebenfalls sehr bekannt und beliebt bei den Crackern und Skript-Kiddies ist der Trojaner BACK ORIFICE 2000.
Hier sollte erwähnt sein, dass auch Administratoren BO2k gerne als Remotecontroller verwenden.
Auch dieser Trojaner bietet wie Sub Seven sehr viele Funktionen und Optionen, um einen entfernten Computer zu kontrollieren und Daten zu stehlen.
Hier sehen Sie das Editormodul des Trojaners, über den dann der Server editiert und erstellt werden kann um damit einen Computer zu infizieren.
Back Orifice 2000 nennt man kurz: BO2k.
In unserem Beispiel haben wir uns einen Server mit dem Namen “Mealth†erstellt, der dann im Controllingfenster erscheint.
Das Erstellen eines Servers in BO2k sieht etwas anders aus, jedoch sind hier auch andere Möglichkeiten vorhanden um den Server zu schützen.
Die Kommunikation kann hier mittels einer Verschlüsselung geschützt werden, die als .DLL Plug In installiert werden kann.
Sie haben auch hier nun die Möglichkeit, verschiedene Operationen auszuführen, wenn Sie den Client gestartet haben, um einen entfernten Computer zu kontrollieren.
Eine der einfachsten Methoden, den Computer nach einem Trojaner zu durchschauen, ist die folgende manuelle.
Sie haben die Möglichkeit sich folgende Einträge in der Windows Datenbank (Registry) anzusehen:
Dazu drücken Sie: Start / Ausführen und geben dann regedit / Enter ein: HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CLASSES_ROOT\exefile\shell\open\command
Hier sollten Sie eigentlich nur folgenden Eintrag finden: ""%1"%*"
Ist ein Windows Betriebssystem infiziert könnte es so aussehen: system.exe ""%1"%*".
ACHTUNG: Der Trojaner Sub Seven infiziert das System jedoch nicht nur auf herkömmliche Art und Weise.
Bei verschiedenen Tests konnten wir feststellen, dass im Ordner
C:\WINDOWS\System32\ ebenfalls eine Datei platziert wird, wenn ein System infiziert ist.
Hierbei handelt es sich namentlich um nicht erkennbare Dateien, die in der Regel 55 kb klein sind und oftmals so heißen: jpgnkf.exe, dgfsrd.exe ... etc.
Die Registry kann dann wie folgt aussehen, wenn man den Schlüssel
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run anschauen möchte, ob ein Trojaner installiert ist.
Ein kleines, aber sehr nützliches Programm hierfür ist unter anderem Regcleaner.
Das Programm analysiert schnell und zuverlässig die Windows Registry und Sie können somit sehen, ob ein Trojaner auf Ihrem Computer ist.
Im nachfolgenden Bild sehen Sie einen Windows XP Computer, der mit einem Sub Seven Trojaner infiziert ist.
Sie haben nun die Möglichkeit, den Sub Seven anzukreuzen und löschen zu lassen.
Regcleaner löscht die Datenbankeinträge des Trojaners aus der Registry.
Nach einem Neustart des Computers sollten Sie dieses Programm erneut starten und prüfen, ob der Trojaner tatsächlich entfernt wurde.
Im Beispiel sehen Sie die Version 4.3 mit dem deutschen Spachmodul.
Wie aber kann nun eine Person solche Software ausnutzen?
Was benötigt man, um einen taktischen Zugriff auf einen Computer zu erhalten und schon fast einen legalen Zugriff zu bekommen?
Hier ein Beispiel, das Anwendung finden könnte:
MICQ oder ICQY2K:
Dieses Programm ermöglicht es einem Benutzer, mehrfach ICQ zu starten, also mehrere User gleichzeitig von einem Rechner online gehen zu lassen.
Normal ist es nur möglich, mit dem original ICQ einen User am Server angemeldet zu haben.
ICQ-AutoAuthorize / IP-Unhider Patch:
Dieses Programm ermöglicht das Umgehen der Sicherheitseinstellung von ICQ. Sprich, man kann sich in eine Kontaktliste des Chatprogramms ICQ eines anderen Users ohne dessen Erlaubnis eintragen lassen.
Die IP der User, die gerade Online sind, werden ebenfalls sichtbar.
The Thing:
Dieser Trojaner zählt zu den kleinsten, die es derzeit gibt.
Mit gerade mal 40 Kb Größe kann er lediglich einen Port öffnen und somit eine Hintertür für den Cracker aufmachen.
Die Möglichkeiten, Dateien zu übertragen, reichen vollkommen aus.
Welchen Regeln folgen Cracker dann, um mit einem hohem Erfolg ihr Opfer zu erreichen und entsprechend anzugreifen.
Bei ICQ wird sich eine anonyme Identität im ICQ zugelegt, um Kontakt zu einem anderen Nutzer herstellen zu können.
Hierbei wird oft auf MICQ zurückgegriffen, da mehrere User durch dieses Programm online gehen können.
Nun wird eine entsprechende Reizperson geschaffen, wobei es sich typischerweise um eine Frau handeln wird, da Männer dieser meistens mehr Vertrauen entgegenbringen :)
Schließlich wird eine ICQ UIN erfunden, die einen weiblichen Namen hat und ein zum Opfer passendes Alter hat. (UIN ist eine Nummer, die von Mirabillis zugeteilt wird und nur für ICQ gültig ist)
Nun würde die ICQ Nummer des Opfers in die Kontaktliste eingefügt.
Das Opfer wird sicherlich fragen, wie es sein kann, dass eine Frau ohne weiteres in seine Kontaktliste aufgenommen wurde oder reinkommen konnte.
"Mein Bruder ist Student für Informatik und hat das für mich gemacht“ …
" Meine Freundin hat mir das Programm installiert weil es cool sein soll“.
Dabei wird eine eher nichttechnische, eher laienhafte Ausdrucksweise benutzt.
Wenn das Opfer technisches Hintergrundwissen vermutet, wäre es sicherlich vorbei mit dem Plan.
Wenn das Opfer dann mit einem Trojaner infiziert werden soll, wird darauf geachtet, dass nicht gleich beim ersten Gespräch der Trojaner geschickt wird.
Oft werden, um das Vertrauen zu erwecken, zuerst harmlose Dateien geschickt.
Nach dem 3. oder 4. Gespräch ist hinreichend viel Vertrauen erzeugt, um das Opfer mit einem Trojaner infizieren zu können.
Ein bekannter Trick ist auch das Benutzen von Winzip, einem Programm um Dateien zu komprimieren.
Hierbei erzeugt der Angreifer ein neues Winzip-Archiv und packt den Server mit anderen Dateien (Bilder etc.) hinein.
Nun gibt er als Kommando "run command after unzipping" (Kommando nach dem entpacken ausführen) den Server an.
Auch hier vollbringt die Funktion "melt server after installation" gute Dienste.
Anschliessend wandelt er das Zip-Archiv in eine selbstextrahierende exe um.
Programme wie pkzip als command-line Tools sind ebenfalls sehr hilfreich in diesem Bereich.
Das war's!
Ist das nun geschafft, wartet der Angreifer einige Tage ab, denn das Opfer könnte noch immer Verdacht schöpfen.
Der "Spaß" beginnt dann, wenn der Angreifer ein wenig gewartet und das Opfer langsam ein wenig ausspioniert hat und einige kleine Details übermittelt.
Das Staunen ist sicher auf der Seite des Opfers, das man so viel über ihn weiss.
Für das beliebte Chatprogramm ICQ gibt es derzeit viele Programme, die User ausspionieren und das ICQ eines Users einfach übernehmen.
Auch ist es möglich, mit kleinen Programmen wie dem Graphischen Sniffer eine ICQ ID zu belauschen und die IP Adresse herauszufinden.
Somit ist der Weg frei für weitere ICQ Programme, die anderen Anwendern Schaden zufügen können.
Ebenfalls beliebt ist das kleine Programm ICQSniffer in der hier dargestellten Version 1.07 zum Abfangen einer IP Adresse durch die ICQ Identifikationsnummer.(ID, UIN)
Die hier dargestellten Programme verdienen nicht den Namen Sniffer, da diese keine echten Funktionen eines Sniffers beinhalten.
Ein ebenfalls sehr beliebtes Programm, um ICQ zu kompromittieren, ist ICQ-Toolz-Y2K.
Dieses Programm verfügt über dutzende Funktionen, die ICQ zum Absturz bringen können, was man dann Crashen nennt.
Das Programm beinhaltet einen ICQ Bomber, der es möglich macht, ICQ mit hunderten von Nachrichten zu bombardieren, so dass der angegriffene Benutzer dadurch gestört wird und möglicherweise den PC zum Absturz bringt.
In dieses Programm ist aber auch ein kleines Hilfsmittel integriert, das Angriffe über Sub Seven auf das eigenen ICQ unterbinden soll.
Sie sehen schon, wie schnell und recht einfach es ist, sich Zugriff auf einen anderen Computer zu verschaffen und das mit einfachen Mitteln.
Natürlich wird hierbei sehr oft "Social Engenering" betrieben, um möglichst viele Informationen im Vorfeld zu erhalten und Victims nicht zu verunsichern.
Man darf dabei nicht vergessen, dass die Art und Weise, wie solche Leute vorgehen, immer wieder geändert auftreten kann.
Best Regards & Greetings
M.Rogge, Korrekturen und Bearbeitung U. Eisenheim
Berichte dieser Seite sind in guter Absicht und mühsamer Arbeit erstellt worden, daher möchte ich Sie bitten keine Anleitung und/oder andere Texte frei zu kopieren.
Unter Angabe des Autors und der URL sowie eine Benachrichtigung per E-Mail ist eine weitere Veröffentlichung jederzeit möglich.
Für einen Missbrauch zeichnet sich der Autor nicht verantwortlich, da eine kriminelle Handlung oder vergleichbares Handeln nicht damit unterstützt werden soll!
Sollte sich hier eine Information, Link, Bild oder dergleichen befinden das unerwünscht ist, bitte ich um eine kurze Nachricht an mich.
Ich werde diesen Mißstand umgehend korrigieren.
