-Anzeige-

Internefallen
Verbraucherschutz im Internet

Steuern | Behördenwegweiser | Internetfallen

Themenbereiche
sonstiges
Suchen
 
Web Internetfallen

Trojaner

Trojaner
Wie kann ich mich schützen ?
Was tun wenns passiert ist ?
Neu : Lauschangriffe durch Trojaner !!
Gefährlich : Trojaner spionieren auch Zugangsdaten aus !
Superwurm MSBlaster- w32blaster-beziehungsweise LoveSan - ist da !
Sobig.F - Mal wieder ein Superwurm ( Trojaner) unterwegs !
Wieder ein neuer, gefährlicher,Wurm aufgetaucht:

Trojaner

Ähnlich wie die Viren installiert sich ein Trojaner-Programm unbemerkt vom Benutzer in dessen System und liest hier normalerweise Daten aus.Es arbeitet also im Gegensatz zu den Virenprogrammen normalerweise nicht zerstörerisch sondern dezent im Hintergrund. “Würmer” hingegen arbeiten oft zerstörerisch und gleichen eher den bekannten Virenfunktionen.Würmer und Trojaner sind für den Computer schädlichen Programme und werden global mit dem Begriff Malware bezeichnet. Der Begriff entstand aus der Kombination von "malicious" und "software" und heißt auf Deutsch so viel wie boshafte Software.

Mit einem Tarnprogramm ( z.B. Bildschirmschoner ) auf den Rechner des Opfers geschleust, wird der Trojaner, sobald das Trägerprogramm gestartet wird, aktiv. Je nach Art des Trojaner nimmt der Server dann mit seinem Besitzer per E-Mail Kontakt auf und übermittelt diesem bei jedem Onlinegang die aktuelle IP-Adresse des Opfers. Dadurch kann nun der Empfänger gezielt den Rechner des Absenders ansprechen und dort z.B. Daten auslesen. Auch die Datenzwischenspeicherung als getarnter MP3-File o.ä. ist sehr beliebt. Ziel des Programmes ist es meistens Kennwörter auszuspionieren und dann an den Absender des Trojaner unbemerkt, während einer Internetsitzung, abzuschicken.( siehe unten ) Trojaner greifen hierbei hauptsächlich bekannte Programme wie Outlook, Internet Explorer u.s.w. an um deren Kennwörter auszulesen. Der Hacker kann dann mit dem Kennwort entsprechenden Schaden anrichten. Beliebt sind hierbei Account-Mißbräuche oder den Zugang in Firmenrechner. Auch Firmen können Trojaner gezielt einsetzen um Informationen über den User zu erhalten. Bekannt wurde z.B. das Ausspionieren der Festplatten nach Raubkopien von der Firma Spedia.net, einen Dienst der den Mitgliedern Geld fürs Surfen bezahlte. Auch Microsoft setzt, mit Zustimmung des Users, solche Funktionen ein um z.B. Windows Upzudaten.

WICHTIG :

Gem. § 202 a StGB ist es nur strafbar wenn g e s c h ü t z t e Daten ausgelesen werden !

Ist Ihr Rechner über einen freien Port , daher z.B. ohne Firewall oder Paßwortschutz, gegen fremde Zugriffe nicht abgesichert ist das reine Nachschauen in ihren Daten nicht strafbar !

Erst wenn z.B. auch Daten verändert oder gelöscht werden würde dann eine strafbare Handlung vorliegen. ( § 303a StGB Datenveränderung )

Wie kann ich mich schützen ?

Hier gilt genau wie bei den Viren : Firewall installieren und keine unbekannten E-Mails oder deren Anhänge runterladen bzw. öffnen.

NIEMALS Paßwörter fest auf dem PC abspeichern !

Es gibt zahlreiche Spezialprogramme gegen Viren und Trojaner.

Einige werden auf der Seite mit Schutzsoftware vorgestellt.Ein gutes Freeware/Sharewareprogramm ist Ants2 , download unter :

http://www.ants-online.de/ants/download.php

Aktuelle Virus/Trojanerwarnliste gibt es hier beim BSI.

Was tun wenns passiert ist ?

Auch hier gilt : das gleiche wie unter der Rubrik Viren anwenden. Wurden Daten ausgelesen liegt eine Straftat ( Datenausspähung ) vor, Sie können Strafanzeige erstatten. Sofort das alte Paßwort ändern ! Zum Entfernen des Programmes empfehle ich die ausführlichen Hinweise auf der Internetseite von Trojaner-Info.de, siehe Linkliste.

Tipps zum Erkennen und eigenen Entfernen von Trojaner hier klicken.

Neu : Lauschangriffe durch Trojaner !!

Seit einiger Zeit kursiert im Internet der Trojaner “ SpySpeaker”.

Dieser Trojaner verändert die Einstellungen der Soundkarte und vertauscht den Soundeingang mit dem Soundausgang. Dadurch können die Lautsprecher als Mikrofon benutzt werden.Die Daten werden als MP3 File zwischengespeichert und beim nächsten Onlinegang verschickt.

Sie können sich aber schützen : Im Internet und auf diversen Heft-CDs ( z.B. PC-Praxis Nr. 04/2002 ) gibt es das kostenlose Tool “ AntiSpy-Speaker 1.4 “. Mit diesem Tool wird die Veränderung an der Soundkarte verhindert.

Gefährlich : Trojaner spionieren auch Zugangsdaten aus !

Leider gibt es Trojaner die auschschließlich den Zweck verfolgen ihre Zugangskennung bei der Einwahl ins Internet mitzulesen und dann anschließend an den Programmierer zu senden.

Sie bemerken dies wahrscheinlich daran wenn ihnen plötzlich beim Login der Zugang verweigert wird und eine Anzeige erscheint “ Kennwort falsch “. In diesem Fall ist bereits ein Fremder mit Ihrer Kennung eingeloggt. Sie sollten dann unverzüglich ihr Kennwort ändern ( sobald sie wieder reinkommen )und den PC mit einem Antivirusprogramm scannen. Auch Benutzer einer Flatrate ( z.B. DSL ) sollten Fremdzugriffe nicht ignorieren. Zwar entstehen Flatratinhabern dadurch keine Zusatzkosten, aber wissen Sie was der “ Cracker “ mit Ihren Daten so im Internet anstellt ? Also :

Sind sie sicher das richtige Kennwort zu benutzen und erscheint die Anzeige Kennwort falsch und später kommen sie wieder mit ihren Kennwort ins Internet sollten sie sofort das Kennwort ändern !

Wer keine Flatrate hat muß auch sofort seien Provider informieren, ansonsten kommen die Zugangskosten auf Sie zu ! Zum direkten Entfernen des Trojaner lesen Sie hier nach.

Superwurm MSBlaster- w32blaster-beziehungsweise LoveSan - ist da !

Jetzt ist der gefährliche Superwurm da und bringt tausende von Windowsrechnern ständig zum Absturz.

Versteckt ist der Fiesling in der Datei msblast.exe oder ähnlich. Falls Sie noch nicht das Sicherheitsupdate von Microsoft haben sollten Sie es schnell downloaden. Ansonsten gibt es jetzt schon viele Beschreibungen und Tipps zum entferen des Virus. Auf einigen Rechnern führt W32.Blaster zu einem Systemabsturz. Es erscheint ein Popup-Fenster mit der Meldung "Das System wird heruntergefahren". Wenig später schaltet sich der PC tatsächlich ab. Auf den meisten Rechnern gibt es hingegen keine unmittelbaren Hinweise darauf, dass der Wurm sich dort eingenistet hat. Er werkelt im Stillen und versucht, sich weiter zu verbreiten. Darum sollten alle User von Win NT, 2000 und XP einen Test mit dem Symantec-Tool durchführen ! Ab dem 16.08.2003 bis zum Jahresende wird der Wurm versuchen von Ihrem PC aus den Server von Microsoft via Internet immer wieder anzugreifen und sich dabei auch weiter zu verbreiten.

Anders als viele andere bekannte Würmer verbreitet sich W32.Blaster nicht per E-Mail, sondern versteckt sich gewissermaßen im ganz normalen Internetverkehr.

Betroffen sind alle PC mit Windows-Betriebssystem NT, 2000 und XP; sowie bei abgewandelten Formen von Blaster auch alle Systeme mit offenen Port 135.

Ist Ihr PC bereits befallen nützt das Service-Update von Microsoft nichts mehr ! Erst den Wurm entfernen, dann Updaten !

Einfacher Tipp :

Mit dem Task-Manager die Datei msblast beenden und dann das Remove Tool von Symantec downloaden und ausführen, ansonsten hier eine genaue Anleitung aller Schritte :

1. Direkt nach dem Start des PC das erneute sofortige Runterfahren unter XP verhindern: dazu - rechtsklick Start - ....ausführen anklicken....-”shutdown -a” eintragen und Return drücken.
2. Dann unbedingt die Systemwiederherstellung von XP ausschalten ! ( Ansonsten ist der Wurm nach jeder Deinstallation sofort wieder da !). Hierzu Im Menü System-Zubehör-Systemprogramme-Systemwiederherstellung das Häkchen entfernen ( Programm ausschalten ).
3. Das Symantec Remove Tool runterladen und starten . Nach Entfernung des Wurmes das
4. Patch von Microsoft downloaden und installieren
5. Sicherheitshalber in der Registry erneut nachschauen und ggf. löschen :
Datei msblast.exe im Eintrag :
HKEY_LOCAL_MACHINEßSOFTWARE/MICROSOFT/Windows/Current Version/Run.
6. PC herunterfahren und im abgesicherten Modus starten. Dort dann erneut das Symatec Tool durchlaufen lassen. Registry erneut kontrollieren.
7. PC herunterfahren und normal starten.
8. Jetzt müsste der Wurm weg sein.

Hier alle Links und Downloadadressen zum Thema:

BSI http://www.bsi.de/av/vb/blaster.htm

Symantec: Removal Tool http://securityresponse.symantec.com/avcenter/venc/data/w32. blaster.worm.removal.tool.html

Microsoft-Infos in deutscher Sprache http://www.microsoft.com/germany/ms/technetservicedesk/bulle tin/blaster.htm

Microsoft-Infos in englischer Sprache http://www.microsoft.com/technet/security/virus/alerts/msbla ster.asp

http://de.bitdefender.com/virusi/virusi_descrieri.php?virus

Sobig.F - Mal wieder ein Superwurm ( Trojaner) unterwegs !

Diesmal trifft es alle PC, bzw. alle Windows-Rechner. Sobig.F verbreitet sich wie seine Vorgänger über E-Mail (mit eigener SMTP-Engine) und Netzwerkfreigaben unter Windows. Im Unterschied zu den jüngsten RPC-Würmern können sich Rechner jedoch nicht automatisch infizieren, sondern es muss der Dateianhang einer zugesandten E-Mail ausgeführt werden.

Prüfen Sie daher unbedingt ab sofort alle ankommenden E-Mails sehr genau und öffnen Sie keinesfalls einen Dateianhang den Sie nicht bestellt haben !

W32.Sobig.F@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine an alle Adressen sendet, die er in Dateien mit der Endung: .wab ,.dbx, .htm, .html, .eml, .txt, .hlp, .mht, findet.

Bei der Infektion kopiert er sich als Datei WinPPR32.EXE in das Windows-Verzeichnis und sorgt mit den Registrierungsschlüsseln

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
TrayX = "%Windir%/WinPPR32.EXE /sinc"

und

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
TrayX = "%Windir%/WinPPR32.EXE /sinc"

dafür, dass er beim Rechnerstart aktiviert wird und sich weiter verbreitet, bzw. versendet.

Von F-Secure wird ein spezielles Entfernungs-Programm für W32.Sobig.F@mm zum kostenlosen Download bereitgestellt.

Der Wurm beendet seine Aktivität am 09.09.2003, das ist im Wurm so einprogrammiert.

Wieder ein neuer, gefährlicher,Wurm aufgetaucht:

Bald vergeht keine Woche ohne neuen Virus-Wurm, diesmal sogar geschickt als angebliche E-Mail der Polizei getarnt:

W32.Sober.C@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Die Absender-Adresse wird dabei immer gefälscht!

Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen .bat, .com, .cmd, .exe, .pif oder .scr.

Wird der Wurm aktiviert geschieht folgendes:

1. Der Wurm kopiert sich selbst unter "" in das Windows-Systemverzeichnis.
2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:
.htt .rtf .doc .xls .ini .mdb .txt .htm .html .wab .pst .fdb .cfg .ldb .eml .abc .ldif .nab .adp .mdw .mda .mde .ade .sln .dsw .dsp .vap .php .nsf .asp .shtml .shtm .dbx .hlp .mht .nfo

und speichert diese im Windows-Systemverzeichnis unter dem Namen savesyss.dll. Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet, der Absender ist daher meist selbst ein Opfer des Wurmes!

3. Ein neuer Wert ""="" wird den beiden folgenden Registrierungsschlüsseln zugewiesen:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert.

Text der “Polizei-E-Mail”:

Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moglichkeit zur Stellungnahme wird Ihnen in den nachsten Tagen schriftlich zugestellt. sind fur Sie und ggf. Ihrem Anwalt beigefugt und einsehbar. Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert. Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf, Europa Sonderkommission Internet Downloads Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Ihre Drohgebarden konnen sie woanders loswerden, Rufnummer au?erhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868 Hochachtungsvoll i.A. PK Mollbach

Es sind zahlreiche weitere E-Mails mit deutschen Text und rüden Aufforderungen im Umlauf. Z.B. seit 24.12.2003:TEXT:

Deutschland Sucht Den Superstar (DSDS) auf RTL.
Hallo, Du wurdest zufällig von ca. 85.000 E-Mail Adressen ausgewählt, um bei RTL DSDS in der Zuschauer Jury mit zu Voten. Das ganze hat auch noch ein SUPER Vorteil, Du bekommst zusätzlich noch einen V.I.P Ausweis, mit dem du hinter den Kulissen bei den Stars mit dabei sein darfst.
Es werden insgesamt 100 Personen für die Zuschauer Jury gesucht und 200 Personen haben wir per Mail angeschrieben. Also, Deine Chancen stehen ziemlich gut mit dabei zu sein.
Du musst mindestens 12 Jahre alt sein, um mitmachen zu dürfen. Einfach das Anmeldformular ausfüllen und auf Antwort warten.
Viel Glück!

Weitere aktuelle Textbeispiele ab dem 24.12.2003:

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnteich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.
bei dir ist der trojaner smss.exe am wüten. deshalb kann jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task! dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage hat es gedauert, bis ich endlich ein programm zum entfernen gefunden habe. ich hab's dir mal mit beigetan. wenn fragen, meld dich einfach.

Guten Tag,
da immer mehr unseriöse Internet Seiten mit gefährlichen Dialern entstehen, haben wir uns gedacht, es geht auch Ohne Dialer!
Bei uns haben sie die Auswahl zwischen 87.000 verschiedenen Produkten. Unter den Artikeln sind:
Handy Klingeltöne
Handy Spiele ( über 400 Stück! )
Alles über Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, und und und und noch vieles vieles mehr ...
Wir würden uns Freuen, wenn Sie unsere DIALER FREIE Webseite besuchen.

Sehr geehrte Frau Bieders,
Wir möchten uns noch einmal für unsere falsche E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies einige Fehler beim versenden auf.
Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.
Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Händen , hätte jede andere Person freie Einsicht bzw. Verfügung über Ihr Konto!
Mit freundlichen Grüssen:

Ich bin wahrscheinlich zu dämlich, Ich kriegs nicht gebacken.
Kannst du das mal testen!

Weitere Betreffs: ( hier ohne den gesamten Text):

Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Deutschland sucht den ...
RTL: DSDS
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's

WICHTIG!!:

Auf keinen Fall die Dateianhänge der E-Mail öffnen!! Damit installiert sich der Wurm auf Ihren PC!!!!

Hinweise zur Entfernung des Wurms

Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren.

Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über ein kostenloses Entfernungstool von NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download oder Download mit Informationen ) oder von Bitdefender: (Download mit Informationen) . ( Infos / Quelle unter http://www.bsi.de)

zurück