Trojaner und Internet by SnakeByte [ SnakeByte@kryptocrew.de ] Bisher war es immer so, daß man sich Trojaner eingefangen hat, dadurch, das man Programme aus unsicheren Quellen gestartet hat oder jemand physikalischen Zugriff zum Computer hatte um dort einen Trojaner aufzuspielen. Mitlerweile findet man auf einschlägigen Seiten jedoch immer öfter ein weiteres "Hilfsmittel" um Trojaner auf einen Rechner aufzuspielen. Hierbei handelt es sich um ein Visual Basic Script, das in Internet Seiten eingebunden werden kann. Dieses Visual Basic Script benutzt Sicherheitslücken im Internet Explorer und / oder Netscape Navigator um einen Trojaner auf dem Rechner zu installieren. Es kann aber auch erweitert werden um schlicht und einfach die Festplatte neu zu formatieren oder die Registry zu zerstören. Die Ursprungsvariante dieses VB Scripts hieß 'Evil'. Mitlerweile ist jedoch eine verbesserte Version im Umlauf, diese enthält mehrere Visual Basic Scripte. Zum einen eine Variante, die den Trojaner "The Thing 1.6" auf den Rechner aufspielt und startet. Die nächste Variante in dem Packet ist ein Script, das eine Verbindung zu einem FTP-Server herstellt um von dort einen Trojaner zu laden und starten. Allerdings rebootet der PC danach automatisch wenn Advanced Power Management aktiviert ist. Ansonsten beendet sich der Browser. Diese Variante hat den Namen "Trojanrunner". Die Variante mit dem Namen "Annhiliate" löscht das CMOS und löscht die Festplatte. Ist also als sehr destruktiv und gefährlich einzustufen. Diese VB Scripte sind für NT und Windows98 ausgelegt, können aber mit ein paar kleinen Änderungen auch unter Win95 funktionstüchtig gemacht werden. Die Handhabung der Scripte ist in einer Readme Datei ausführlich erklärt, weshalb ich denke, das diese öfters angewendet werden. Aber nicht nur auf Websiten lauert diese Gefahr, da man VB Scripte auch in E-Mails oder Newsgroups Postings einbinden kann, so das zum Beispiel beim Öffnen der E-Mail ein Trojaner installiert werden könnte. Als genereller Tip gilt also: Visual Basic Script ausschalten und immer die neuste Version des Browsers, beziehungsweise aktuelle Patches verwenden. Da sich ohne Java jedoch (leider) nicht mehr angenehm surfen lässt, sollte man dieses zumindestens im E-Mail Clienten und vor dem Betreten unseriöser Seiten ausschalten. Das Scripte in E-Mails eine Gefahr sind zeigt zum Beispiel auch der Internet Wurm Bubbleboy, der sich durch Visual Basic Script und eine Sicherheitslücke im Internet Explorer 5 per E-Mail verbreitete. Das gab es zwar schon früher (aktuelles Beispiel: Melissa) aber dieser Wurm wurde nicht erst beim Öffnen und Starten eines Anhangs aktiv, sondern beim einfachen Lesen der E-Mail. Allerdings liegt im Visual Basic Script nicht die einzige Gefahr beim surfen. Das Team von sneeks.de (www.sneeks.de) hat herausgefunden, das es möglich ist den Browser beziehungsweise den E-Mail Clienten nur durch HTML Code zum Absturz zu bringen. Allerdings ist ein Absturz des Browsers verglichen mit einem aktiven und nicht erkannten Trojaner nicht zu vergleichen. Jedoch sollte man generell in E-Mails HTML und Scripte ausschalten, nicht nur um vorm Abstürzen des Clienten sicher zu sein sondern auch um Bandbreite zu sparen.