Kryptocrew 08.Nov.2002<hr>

<b>Häschen in der Grube, saß und schlief...</b><br><br>

Ein Kinderspiel was im Computer bisweilen auch vertreten sein kann. Allerdings täuschen diese Häschen den Schlaf nur vor. Die Rede ist von den sogenannten Trojanern (wobei es auch Viren gibt die eine gewisse Zeit schlafen, dazu später!).<br>Zu der Namensgebung brauch man denke ich nicht viel zu sagen, die Geschichte vom Trojanischen Pferd ist bekannt.<br>Ohne Virenscanner bekommt es ein User bei Befall in den seltensten Fällen mit, das ein solches Häschen im Hintergrund auf seine Daten zugreift. Sie können ohne Mühe abgerufen, verändert oder gar zerstört werden. Vielleicht Jahrelange Arbeiten sind dann häufig futsch. Es können andere Daten implementiert werden, die vielleicht weitläufigeren Schaden zufügen.<br>Wie kommt ein solches Programm auf den PC?<br>Nun, in den wohl meisten Fällen erhält man sie per E-Mail oder per Instant Messenger. Anhänge die man öffnet, Dateien die man ohne Prüfung annimmt. Klickt man sie an um zu schauen was drin ist, setzt sich der Trojaner fest ins System und kann mit seiner eigens dafür entwickelten Arbeit beginnen Daten zu tranferieren. Über eine im Programm angegebe E-Mail Adresse wird dem Angreifer die momentane IP des Opfers gesendet, mit der er sofort auf das System zugreifen kann.<br>Wie oder wo erkennt man ihn?<br>In der Registry sind folgende Einträge (diese sind ok!):<br>HKEY_CLASSES_ROOT\exefile\shell\open\command\ @="%1" %*"<br>HKEY_CLASSES_ROOT\comfile\shell\open\command\ @="\"%1\" %*"<br>HKEY_CLASSES_ROOT\batfile\shell\open\command\ @="\"%1\" %*"<br>HKEY_CLASSES_ROOT\htafile\Shell\Open\Command\ @="\"%1\" %*"<br>HKEY_CLASSES_ROOT\piffile\shell\open\command\ @="\"%1\"%*"<br><br>HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\ @="\"%1\" %*"<br>HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\ @="\"%1\" %*"<br>HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"<br>HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command\ @="\"%1\" %*"<br>HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\ @="\"%1\" %*"<br>Wenn aber vor der Zeichenkette "%1" %*" noch eine ausführbare Datei (exe, com, ect.) zu sehen ist, könnte sich dahinter ein Trojaner verbergen. Bitte nie den gesamten Schlüssel dann löschen, nur das Programm sollte gelöscht werden.<br>Wie entfernt man den Trojaner?<br>Am einfachsten ist es ein Antivirenprogramm zu installieren, welches einem das entfernen erleichtert. Allerdings ist es auch möglich, das es keinen Schädling findet, was aber nicht heißt, das keiner da ist. Es handelt sich dann womöglich um eine neue, von den Programmen noch nicht erkannte, Version.<br><br>Copyright (mm)<hr>