Hallo Forumsgemeinde,

ich schlage mich schon länger mit dem Gedanken herum, ob ich einen selbst erstellten Trojaner von jemandem auf meinem Rechner habe:
Ich habe mal eine Word Datei von seiner CD geöffnet (vor ca. 3-4 Jahren) und habe nun Angst, dass ich evt. einen von ihm selbst erstellten Trojaner auf meinem PC habe. Deswegen möchte ich gerne wissen, ob es einfach ist einen Trojaner zu erstellen (diese Person hat Ahnung von IT, ist aber kein Spezialist)?
Wie sicher können Anti- Viren/ Trojaner- Programme auch einen selbst gebauten Trojaner identifizieren?
Und welche Software (möchte gerne eine käuflich erwerben, also keine Freeware aus dem Internet) ist dafür am besten geeignet?
Wie sicher kann ein Trojaner- Check von einem Computer Fachmann einen möglichen Trojaner identifizieren?

Ist es möglich, dass Trojaner trotz Firewall aktiv werden können?

Ich weiß, dass sind viele Fragen, aber ich hab leider wenig Ahnung und mache mir oft Gedanken, ob ich einen Trojaner habe.
Danke für eure Antworten

Gruß He_M76

Zitat:

Ich habe mal eine Word Datei von seiner CD geöffnet (vor ca. 3-4 Jahren) und habe nun Angst, dass ich evt. einen von ihm selbst erstellten Trojaner auf meinem PC habe

Ist dabei was auffälliges passiert? Hast du die Makros in Word aktiviert? Wenn ja dann ist es möglich über diese Option sogenannte Makro-Viren einzuspielen.

Zitat:

Deswegen möchte ich gerne wissen, ob es einfach ist einen Trojaner zu erstellen

sehr einfach.

Zitat:

Wie sicher können Anti- Viren/ Trojaner- Programme auch einen selbst gebauten Trojaner identifizieren?

das wird ziemlich schwierig. Wenn der Autor gut ist dann nahezu unmöglich.

Zitat:

Und welche Software (möchte gerne eine käuflich erwerben, also keine Freeware aus dem Internet) ist dafür am besten geeignet?

keine.

Zitat:

Ist es möglich, dass Trojaner trotz Firewall aktiv werden können?

Ja. Eine Firewall schütz praktisch überhaupt nicht.

Zitat:

aber ich hab leider wenig Ahnung und mache mir oft Gedanken, ob ich einen Trojaner habe.
Danke für eure Antworten

Dann solltest du deinen Rechner einfach mal platt machen und anschließend ordentlich absichern.
Danach ist er sauber und du kannst besser schlafen.

Bereinigung nach einer Kompromitierung

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Hallo,

erstmal vielen Dank für die ausführliche Antwort, auch wenn ich sie so hart, sprich praktisch auswegslos wenn man erstmal einen Trojaner hat, nicht erwartet hätte!

Ich glaube ich habe keine Makros in Word aktiviert, ist ein Übertragen auch ohne Makro- Aktivierung möglich?

Ich habe gehört, dass ein Anti- Trojaner- Programm Trojaner anhand von bestimmten Eigenschaften entdecken kann und Bauanleitungen zum "Trojaner erstellen" müssten ja auch den Programmherstellern von Anti- Trojaner- Programmen bekannt sein, oder ist dies falsch? Diejenige Person hat, wenn überhaupt so ein Trojaner Programm benutzt, ist also kein Spezialist, der jahrelang in Eigenarbeit an einem Trojaner bastelt, ist diese Art von Trojanern wirklich, wie du oben beschrieben hast nahezu unmöglich zu entdecken, schließlich wäre der Trojaner ja ca.3 Jahre alt und somit eine etwas ältere Generation, ist dieses wirklich nicht zu entdecken von einem Anti- Trojaner- Programm?

Ich wollte mir sowieso, da mein alter Rechner ziemlich alt ist, einen neuen Rechner zulegen, hilft es da, Dateien, die ich herüber nehmen möchte, auf eine DVD zu brennen und durchzuchecken oder ist das genauso wirkungslos?

Kann sich der Trojaner auch auf eine Kamera/Handy/MP3- Player/selbst gebrannte CD, welche ich an den PC anschließe bzw. herein lege, ausbreiten?
Wenn dies der Fall wäre müsste ich bei einem vollständigen Cut, also keine Dateien mit herüber nehmen, ja auch die Speicherkarten dieser Medien entfernen :-( !


Kann sich der Trojaner auch auf andere Dateien ausbreiten, gibt es vielleicht Dateien, die nicht von einem Trojaner angefallen werden?


Wie oben bereits erwähnt vielen Dank für deine Antwort und eurem Service,

Gruß He_M76

Zitat:

Zitat von He_M76

Ich glaube ich habe keine Makros in Word aktiviert, ist ein Übertragen auch ohne Makro- Aktivierung möglich?

Für einen Makrovirus müssen Makros schon aktiviert sein. Es besteht die Möglichkeit, nur signierte Makros zu erlauben, aber dafür muss man selbst ein Zertifikat erstellen, was sicher nicht jedermanns Sache ist [1].

Zitat:

..., oder ist dies falsch?

Dies ist richtig, aber die reine Kenntnis über die Existenz und Funktionsweise dieser Baukastensysteme führt nicht zwangsweise dazu, dass die Produkte dieser Systeme auch erkannt werden, zumal moderne Baukästen auch Funktionen anbieten, um den Antivirenherstellern die Erkennung zu erschweren.

Zitat:

..., ist dieses wirklich nicht zu entdecken von einem Anti- Trojaner- Programm?

Ich will mich da nicht festelegen, aber die verhaltensbasierten Erkennungsmethoden sollten eine derart alte Schadsoftware erkennen. Die reine signaturbasierte Erkennung, die sich lediglich auf die Suche von Dateisignaturen (spezifischen Erkennungsmustern) macht, wird unter Umständen doch dran vorbeilaufen.

Zitat:

...Dateien, ..., auf eine DVD zu brennen und durchzuchecken oder ist das genauso wirkungslos?

DVDs sind nicht zur Archivierung geeignet (oder nur sehr bedingt) [2]. Eine Überprüfung gesicherter Dateien macht schon Sinn und zeigt durchaus Wirkung, allerdings ist ein stringentes Ausmisten von potentiell gefährlichen Dateitypen mMn die bessere Aktion (ausser man muss zwingend bestimmte Dateien "desinfizieren").

Zitat:

Kann sich der Trojaner auch auf eine Kamera/Handy/MP3- Player/selbst gebrannte CD, welche ich an den PC anschließe bzw. herein lege, ausbreiten?

Jein. Theoretisch lassen sich bestimmte Speicher beschreiben. Bei Handys ist das eher unwahrscheinlich, da immer spezifische Treiber zum Einsatz kommen und die internen Speicher gar nicht ohne weiteres angesprochen werden können, bei Kameras und MP3-Playern ist das aber zumindest denkbar.
Die entscheidende Frage ist jedoch wie wahrscheinlich das ist, denn es ist ein zusätzlicher Aufwand und der muss sich auch aus Sicht eines Autors von Schadsoftware rechtfertigen lassen.

Zitat:

Wenn dies der Fall wäre müsste ich bei einem vollständigen Cut, also keine Dateien mit herüber nehmen, ja auch die Speicherkarten dieser Medien entfernen :-( !

Ein sorgfältiger Scan der gesicherten Dateien sowie der Verzicht auf potentiell gefährliche Dateiformate sollten reichen.

Zitat:

Kann sich der Trojaner auch auf andere Dateien ausbreiten, gibt es vielleicht Dateien, die nicht von einem Trojaner angefallen werden?

In der Regel stürzt sich Schadsoft aus gutem Grund auf Systemdateien. Andere Dateien sind meist für die Zwecke des Autors uninteressant.

Marc

P.S.: Dies ist nur meine Sicht der Dinge und es gibt zu den einzelnen Punkten auch andere durchaus berichtige Sichtweisen, die hier vllt noch von anderen aufgegriffen werden.

[1] Zertifikate für VBA-Projekte erzeugen und weitergeben. heise online-Kiosk - c't-Archiv, 3/2008, Seite 192
[2] c't 16/2008, S. 116: Archiv-DVDs

Zitat:

Zitat von %ComSpec%

Eine Überprüfung gesicherter Dateien macht schon Sinn und zeigt durchaus Wirkung, allerdings ist ein stringentes Ausmisten von potentiell gefährlichen Dateitypen mMn die bessere Aktion (ausser man muss zwingend bestimmte Dateien "desinfizieren").

Was sind denn potentiell gefährliche Dateitypen?
Ich wollte Bilder und Word, Excel, Power-Point und pdf- Dateien überspielen, wie sieht es mit diesen aus?

Zitat:

Zitat von %ComSpec%

Die entscheidende Frage ist jedoch wie wahrscheinlich das ist, denn es ist ein zusätzlicher Aufwand und der muss sich auch aus Sicht eines Autors von Schadsoftware rechtfertigen lassen.

Ist dieses schwer zu programmieren?
Ich habe mal gelesen, dass sich Viren vermehren und Trojaner nicht, ist dieses richtig? Und wenn ja, muss man Trojaner, die von sich aus auf andere Medien übergreifen extra so programmieren? Ist dieses schwierig?


Hat es eventuell auch einen Einfluss, dass ich damals ein anderes Betriebssystem auf dem Rechner hatte (damals Windows98, jetzt XP)?

Können sich Trojaner vom PC auf CD´s, die von einem anderen PC gebrannt wurden, einschleichen oder ist dieses nicht möglich?