security 5...Wissenswertes zu Ports und Trojanern

Bitte beachten Sie:
Alle hier genannten Programme sind nur als Beispiele für einen sinnvollen Schutz aufgeführt und entsprechen nicht automatisch den neuesten Versionen im Netz. Um immer die aktuellsten Infos und Downloadmöglichkeiten zu erhalten, informieren Sie sich bitte in meiner AMBULANZ auf der Startseite oder unter TOOLS in der Navigationsleiste.

Natürlich gibt es zu diesem Zweck auch wieder jede Menge hilfreicher Programme, welche Trojaner nicht nur erkennen sondern auch entfernen können.Eines dieser Programme ist Ad-aware, welches als Freeware aus dem Internet geladen werden konnte! Ein weiteres Freewareprogramm ist Snake Byte's Trojans First Aid Kit , von Kryptocrew welches ich ebenfalls sehr empfehlen kann, da es noch wesentlich vielseitiger und komfortabler ist. - Beide Programme aber werden leider seit geraumer Zeit nicht mehr weiterentwickelt und sind wohl mittlerweile auch nicht mehr zeitgemäß!

Mittlerweile existiert eine neue Version Ad-Aware 5.8 (5.0.8.1), mit verbesserten Features (Sprachmodul und Updateprogramm) und einem wesentlich erweiterten Erkennungsspectrum, welches auch eine Reihe von Dialermodulen einschließt.-Die alten "Reflist.sig" Dateien (Spywaredefinitionen) wurden durch "reffile.awr" Dateien ersetzt und können mit dem REFUPDATE 2.0 Modul von Lavasoft regelmässig und unproblematisch aktualisiert werden.

Seit kurzem gibt es eine neue Version SE,
welche die älteren Versionen 5.82 und 6.0 ersetzt. Ob das seit 2004 bekannte Delisting auch in dieser Version praktiziert wird,
vermag ich nicht zu sagen, da ich seitdem Ad-Aware auf meinen Systemen nicht mehr getestet, geschweige denn verwendet habe.
Grundsätzlich hängt diese Tatsache aber immer nur vom jeweiligen Signaturupdate ab, so dass auch eine möglicherweise
delistingfreie Startversion zu einem späteren Zeitpunkt dann wieder von diesem Problem betroffen sein könnte.
Obwohl 5.82 und 6.0 auch problemlos neben der neuen Version weiterbetrieben werden kann, empfielt sich dessen vorherige Deinstallation.
Nach der Neuinstallation von AD-Aware SE sollte zunächst noch das Sprachmodul nachinstalliert werden, damit sich ausser Englisch noch andere Sprachen einstellen lassen. Das Sprachmodul kann unter folgendem Link heruntergeladen werden:

Anschließend führt man die heruntergeladene EXE-Datei einfach aus und folgt den Anweisungen auf dem Bildschirm.
Nach dem Start von Ad-Aware klickt man oben rechts das Zahnrad (Settings) an und wählt unter "Language File" die gewünschte Landesflagge aus.
Nun noch auf "Proceed" klicken und das Programm erscheint sofort in der gewünschten Sprache.

Als nächstes sollte man dann unbedingt bei offener Internetverbindung unten rechts auf den Schriftzug "Nach Updates suchen" klicken, damit das aktuellste Referenzfile installiert wird. Dies erledigt das Programm dann automatisch.

Mittlerweile gibt es auch einige Plugins wie z.B.: "plhexdump.exe"
welches Sie ebenfalls von der Lavasoftseite ebenfalls downloaden können.

Die neueste Version 8.3.1 für Windows 2000 Professional/XP 32-bit/Vista 32-bit/64-bit/7 32-bit/64-bit
nennt sich nun "Ad-Aware Free Internet Security 8.3.1" und kann hier heruntergeladen werden.

Dagegen sehr zu empfehlen ist das Programm Search & Destroy von Spybot.
Sie sollten es auf jeden Fall zusätzlich zu Ad-Aware installieren und möglichst mit beiden Programmen arbeiten, weil sie sich in ihrer Erkennungsrate ideal ergänzen!

Weitere Downloadadressen für Sicherheitstools und tieferführende Informationen sowie detaillierte Anleitungen zu den Programmen findet man auf zahlreichen privaten und kommerziellen Securitysites, von denen ich hier aus Platzgründen
nur einige empfehlen möchte:

Die Benutzung von S&D, Ad-Aware und anderer Tools ist kinderleicht,
so dass ich mir hier eine Anleitung ersparen möchte...
Sie wird aber teilweise in meinem Bereich TOOLS nachgeliefert.

Nun noch ein kurzer Kniff zur Selbsthilfe, wenn ein Antitrojanerprogramm nicht zur Verfügung steht: Zunächst wird der Rechner heruntergefahren und dann noch einmal neu kaltgestartet um alle Programme sicher zu schließen und nach dem Neustart nur die in den Autostartregistern eingetragenen Programme zu aktivieren.Es sollten keine weiteren Anwendungen geöffnet und auch keinerlei Verbindungen mit Internet oder Netzwerk aktiv sein. Dann öffnet man mittels "Command.com" unter "Ausführen" (Unter XP heißt der Befehl übrigens "cmd") die MS DOS Eingabeaufforderung (Jeder sollte sich eine entsprechende Verknüpfung in die Schnellstartleiste legen!!!) und gibt dort den Befehl: "netstat -a " ein. Zwischen "netstat" und "-a" muss unbedingt ein Leerzeichen sein! Es sollten dann in der DOS Box folgende Einträge sichtbarbar sein:

Unter Proto, Lokale Adresse, Remote-Adresse und Status sollte bei einem sauberen, und nicht mit dem Internet verbundenen Einzelplatzsystem möglichst nichts, aber auch rein gar nichts eingetragen sein....
Dann ist die Wahrscheinlichkeit sehr gering, dass irgendwo im System eine unangenehme Überraschung auf ihren Einsatz wartet. Sind dagegen unklare Einträge vorhanden, insbesondere in Verbindung mit dem Begriff "LISTENING" unter Status,
so bedeutet dies in der Regel, dass irgendein Programm auf eine Verbindung mit dem Internet wartet.
Dies ist zwar typisch für Trojaner, aber auch für ganz normale Programme, denen man entweder irgendwann einmal ein sogenanntes "Autoupdate" erlaubt hat, oder die bestimmte Ports als Schnittstellen für ihre Funktionen benötigen.
Zum Beispiel: Antivirenprogramme, Trojanerscanner, Hostblocker, Anti-Dialertools, Web- und Mailfilter, Flash-, Real-, ,Quicktime-, und alle möglichen anderen Player, oder auch verschiedene Microsoftanwendungen.
Eigentlich gibt es heute (2010) kaum noch ein (halbwegs aktuelles) Programm oder Tool, welches sich nicht aus irgendwelchen mehr oder weniger undurchsichtigen Gründen mit dem Internet verbinden, oder einfach nur besondere Zugriffsrechte auf des Betriebssystem selbst, meist über ganz spezielle Ports, realisieren will.

Mehr über das Thema Ports und ihre Funktionen finden Sie auf folgender
(leider nur englischsprachigen) Seite:

Im Interesse der Sicherheit sollte man zumindest generell keine Autoupdates zulassen, weil nachgewiesenermaßen auch von renommierten Firmen Daten ausspioniert werden können, die einfach niemanden etwas angehen und auch technisch für das betreffende Programm nicht erforderlich sind.

Im Allgemeinen können nämlich über das eigentliche "Update" hinaus Nutzerprofile aus dem Surfverhalten erstellt und sogar Passwortlisten und ähnlich sensible Dateien können ausgelesen, und via Updateanwendung wie mit einem herkömmlichen Trojaner an die Firmenserver gesendet werden.... Denn: was geht es Dritte an, welche Seiten ein Surfer in letzter Zeit besucht hat, einschließlich aller Erotiksuiten, versteht sich??...He, He, He!!!!...

Weitere (jedoch harmlose) Einträge erscheinen unter Umständen auch unter "Local Adress 127.0.0.1" falls man die Hostdatei zur Sperrung unerwünschter oder gefährlicher Internetadressen verwendet und diese so automatisch (via systeminternen Nameserver) auf den Localhost (127.0.0.1) auflösen läßt. Dies geschieht z.B. auch durch Programme wie Spybots S&D wenn man dort die permanente Impfungsoption genutzt hat.
(siehe dazu auch: Search & Destroy Vers. : 1.3/ 1.4/1.5/1.6)

1...Der NetstatViewer
für Windows 95/98/SE/ME/2k/XP/Vista
welchen Sie sich z.B. hier herunterladen können:

.......erübrigt sich natürlich auch das umständlichere Öffnen und Bedienen von DOS-Fenstern.

Weitere Tools zur Verbindungsüberwachung mit ähnlich komfortabler Oberfläche:
2...Der Local Port Scanner 1.2.2 (LPS)
für Windows 95/98/SE/ME/2k/XP/Vista

(ProzessExplorer 11.xx kannleider nur noch ab 2000 SP4 Rollup 1 oder höher ausgeführt werden.)

Download älterer Versionen z.B. bei:
(für Windows 95/98/SE/ME/2k/XP/Vista)

Sollten diese Versionen irgendwann nicht mehr auf diesen Servern zur Verfügung stehen,
bin ich gerne bereit Ihnen diese per E-Mail zu senden.
Anfrage bitte an : info@technodoctor.de

5...Und noch Regmon
zur Registryüberwachung in Echtzeit
für Windows 95/98/SE/ME/2k/XP/Vista

Auf jeden Fall empfielt sich der Einsatz einiger Schutzprogramme.
Dabei hat sich auf meinen Rechnern stets die Kombination von Virenscanner mit permant laufendem Wächtermodul, einer eng konfigurierten Firewall und je nach Bedarf bei Internetzugang noch diversen anderen Schutzprogrammen wie 0190-er Warner (Nur bei Einwahl über Telefonleitung) und Webwasher bewährt. Natürlich müssen alle diese Programme vernünftig konfiguriert werden und dürfen sich gegenseitig nicht stören...Da jedes System anders ist, kann ich allerdings zur Konfiguration hier nur grundsätzliche Tips und Anleitungen geben, welche in den verschiedenen Kapiteln zu finden sind.

Auch wirklich gute Schutzprogramme wie S&D sind natürlich nicht unfehlbar.
Manche Module werden nur teilweise oder gar nicht erkannt, geschweige denn entfernt.-
Man sollte daher durchaus seinen gesunden Menschenverstand nutzen und zum Beispiel
selbst alle Dateien aufspüren und entfernen, die nicht zu Windows selbst oder einer wichtigen,
bekannten Anwendung gehören.

-Insbesondere betrifft dies gedownloadete Aktive-X Module ,
die man im Ordner C:\WINDOWS\Downloaded Program Files finden kann, wie die nachfolgende Grafik verdeutlicht:

Windows legt dort etwa Steuerelemente für sein WINDOWS UPDATE ("CV 3 Class"),
aber auch für den Flashplayer ("Shockwave Flash") und verschiedene andere Animations+Video Plugins ab.
Diese Einträge sollte man sich wirklich genauestens anschauen
und mit der rechten Maustaste deren Eigenschaften aufrufen, wie das in den nachfolgenden Grafiken
am Beispiel des wohl allseits bekannten WINDOWS UPDATE demonstriert wird.

Befinden sich auf der Registerkarte suspekte Einträge wie "xxx.isdialer.cab"oder "lsdialer.inf",
sollte man das betreffende Aktive-X Modul sofort und ohne zu Zögern entfernen.
Solche suspekten Aktive-X Controls installieren sich zum Beispiel schon beim Betrachten
von Videodateien einschlägiger Erotikseiten, etwa wenn man dem Realplayer
nach erfolglosem Abspielversuch des begehrten Videofiles ein "Update"
des Codecs oder den Download eines neuen "Plug-Ins" erlaubt.
Aber auch manche Streamingvideos schreiben ihre Aktive-x Controls in diesen Ordner,
falls man den Download zuläßt.
In der oben abgebildeten Grafik handelt es sich wie schon gesagt um ein harmloses Steuerelement
für das Microsoft eigene WINDOWS UPDATE,
dessen Ausführung allerdings seit einiger Zeit ebenfalls nicht mehr empfehlenswert ist,
wie sie durch Anklicken des obigen Links in meinen Seiten nachlesen können.

Anklicken der nächsten Registerkarte zeigt dann auch im Klartext,
um welche Art von Datei es sich handelt und wer der Urheber ist.
Will man noch wissen, mit welchen Dateien und Programmen
das betreffende Aktive-X Control zusammenarbeitet,
erfährt man dies unter Registerkarte "Abhängigkeiten"...
Finden sich hier nicht nachvollziehbare Einträge,
ist allerhöchstes Misstrauen angesagt.welchen ann auch im Klartext

Mein Tip:
Auf Videodateien, die sich nicht auf Anhieb ohne zusätzlichen Plugin-Download mit den neuesten Standardplayern von Windows oder Real Networks abspielen lassen, sollte man besser von vorneherein völlig verzichten!
Sehr oft wird beim Abspielversuch solcher Moviedateien dann eine Fehlermeldung angezeigt, in welcher der User aufgefordert wird, dem Download eines hierfür angeblich erforderlichen Codecs zuzustimmen.
Folgt man dieser Empfehlung, wird aber lediglich ein als Videocodec getarntes Schadprogramm
(Z.B.: Trojaner, Wurm, Backdoor, Virus oder Keylogger) heruntergeladen und automatisch installiert.

Aktuell:
Folgende Meldung von Heise.de (Stand:Juli 2008)

Spiel mir das Lied
vom Wurm (17.Juli 2008)

Dass auch scheinbar harmlose MP3-Dateien eine Gefahr darstellen können,
demonstriert ein Wurm, der Multimedia-Dateien in den Formaten MP3, WMA und WMV infiziert.
Er setzt dazu in den Dateien eine Markierung, die besagt, dass zum Abspielen
ein spezieller Audio-Codec erforderlich sei. Die Musik- und Videodateien
lassen sich damit weiterhin abspielen. Allerdings erscheint beim ersten Versuch,
sie im Windows Media Player zu öffnen, eine Popup-Box zur Installation des Codecs aus dem Internet.
Dahinter verbirgt sich jedoch ein hinterhältiges Schadprogramm.
Installiert der Anwender das Trojanische Pferd, setzt es den passenden Registry-Schlüssel,
der dafür sorgt, dass die Meldung über den fehlenden Codec zukünftig nicht mehr angezeigt wird
– es also für den Anwender so aussieht, als hätte er tatsächlich einen Codec installiert.
Dann beginnt der Schädling damit, im Hintergrund die Musik- und Videodateien des Opfers zu infizieren

Lesen Sie HIER weiter

Merke:

Halbwegs seriöse Seiten muten ihren Besuchern solche Codec-Downloads gar nicht erst zu!

Bitte beachten Sie auch folgende Beiträge:

Wem kann man noch trauen?

Spioniert MICROSOFT schon lange seine Kunden aus?

Win98 Trojaner