1. #1

    Registriert seit
    19.11.2011
    Beiträge
    2.128
    Thanked 1.936 Times in 1.180 Posts

    Standard [TUT] Trojaner aufspüren

    Hallo.

    Da ich meine wissenschaftliche Arbeit über das Thema Sicherheit beim Surfen im Web
    geschrieben habe, bin ich auf die Idee gekommen, in U-Labs zusammen mit euch
    ein paar Threads zur Sicherheit zu erstellen.

    In diesem Thread soll es darum gehen, Trojaner auf einem Windows Computer manuell
    (das heißt ohne Antivirenprogramme, sondern per Hand) aufzuspüren.
    Ausgerichtet ist dieser Thread für die Systeme: Vista, 7, 8, 8.1, 10.

    Das klingt komplizierter, als es eigentlich ist. Sofern man es öfter gemacht hat, wird
    man eigentlich immer schneller und besser darin.

    Wenn ihr dieses Tutorial wirklich versteht, werdet ihr in der Lage sein
    den Großteil von den Trojanern die existieren, aufzuspüren.

    Natürlich gibt es immer Trojaner, die sich in anderen Prozessen verstecken (diese sind schwieriger
    zu erkennen, dazu kommen wir aber auch im Thread). Diese Trojaner sind aber eher selten.

    Gliederung:

    -Generelles zu Trojanern
    -Hook: Einschätzung Trojaner oder herkömmliches Programm?
    -Schritt 1: Autostart Programme überprüfen (Registry, Autostartordner, MsConfig)
    -Schritt 2: Verdächtige Prozesse im Taskmanager erkennen
    -Schritt 3: Sicherheitszertifikate und Pfade
    -Schritt 4: Der Tempordner











    Generelles zu Trojanern
    Spoiler:
    Vernünftige Trojaner werden heutzutage auch nicht wirklich zuverlässig von Antivirenprogrammen erkannt.
    Früher und auch heute benutzt man noch Signaturen von .Exe Dateien ,um
    Trojaner zu erkennen. Darüber hinaus erkennen Antivirenprogramme auch über Heuristik
    anhand des Verhaltens einer Anwendung, Trojaner. Diese Verhaltenserkennung ist ziemlich begrenzt, denn man kann Trojaner
    so programmieren, dass sie sich wie jedes andere Programm verhalten bzw. so tarnen, dass sie zumindest wie ein herkömmliches
    Programm wirken. Je mehr man über die Verhaltensweise und Tricks der Trojanern weiß, desto einfacher
    kann man sie manuell erkennen. Das ist programmiertechnisch nicht ganz so einfach umzusetzen. Ich möchte
    euch erklären, wie ihr diese Trojaner anhand von einigen Indizien einfach erkennen könnt.


    -----------------------------------------------------------------------------------------------------------------------------------------------------------------


    Hook: Einschätzung Trojaner oder herkömmliches Programm?

    Spoiler:








    Kriterien sind also:


    1.)
    Sollte im Dateinamen/Pfad etwas nichtsaussagendes wie djekk3p3474 oder 4384748dk oder 4848494 oder dkewkwo stehen,
    ist das mit großer Wahrscheinlichkeit ein Trojaner.
    Es gibt aber auch Namen wie "runsystem" oder "system run", "system client", die ein Trojaner sein können.
    Der Name kann x-beliebig sein, auch ein Lol Client oder Wow Client, kann ein Trojaner sein.

    2.) Sollte der Pfad generell seltsam aussehen oder unlogisch wirken z.B so:
    Pfadbeispiel1: C:\Users\Peter\AppData\Local\jeoepekwp.exe
    Pfadbeispiel2: C:\Users\Peter\AppData\Local\Temp\jeoepekwp.exe

    (Seltsam ist daran, dass ein Programm aus dem Temp Ordner automatisch gestartet wird (Pfadbeispiel 2)), das kommt
    normal nur bei Updates vor. Man sollte also genau schauen.

    Außerdem dieser komische Name jeoepekwp, der nichtsaussagend ist.
    Das sind in der Regel Trojaner.

    In der Regel sollten die Pfade herkömmlicher Software so aussehen:
    C:\Program Files
    C:\Program Files (x86)
    C:\Programme

    Um auf Nummer sicher zu gehen, könnt ihr jeden Pfad den ihr dort seht mal aufrufen mit dem Windows Explorer (ohne den Dateinamen mit Endung entfernen) und schauen, ob im Ordner
    noch andere Ordner oder andere Dateien, außer der Datei die ihr begutachtet, existieren.

    Sollte wirklich nur eine Datei dort sein, würde ich den Eintrag in jedem Fall entfernen, denn
    fast jedes Programm hat mehr als eine Datei im Ordner (da sind meistens immer Unterordner und
    andere Dateien). Abgleich mit selbstprogrammierten Tools die euch BEKANNT sind, solltet ihr natürlich machen.



    3.) Keine Digitale Signatur

    4.) Einige Felder nicht ausgefüllt




    -----------------------------------------------------------------------------------------------------------------------------------------------------------------





    Schritt 1: Autostart Programme überprüfen (Registry, Autostartordner, MsConfig)
    In Windows 8 hat man die Möglichkeit im Taskmanager ein paar Autostartprogramme
    bereits anzuzeigen, aber vorsicht: DAS SIND NICHT IMMER ALLE PROGRAMME.



    Hier könnt ihr schonmal die Programme durchschauen (siehe Hook).


    Doch um wirklich zu Prüfen, welche Programme sich ALLE öffnen, wenn
    wir unser System starten, muss man ein paar Schritte mehr machen.

    Dazu gehört (wichtig!):
    -Der Autostartordner
    -Die Registry
    -MsConfig Überprüfung

    Zunächst WindowsTaste (gedrückt lassen) + R
    um den Ausführen Dialog zu erhalten.


    In der Box geben wir regedit ein und drücken Enter.



    Jetzt wechseln wir in den Schlüssel:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run



    Dort sind die Programme aufgelistet, die bei dem aktuellen Useraccount mit dem ihr eingeloggt seid, gestartet werden.

    Jetzt führt ihr das aus, was unter dem Hook Spoiler in diesem Thread hier steht.

    Das gleiche machen wir mit dem Schlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    und dem Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce

    Schauen wir uns doch den Pfad von dem Programm aus meinem Screen mal an:


    UPS, da ist ja keine systemrun.exe ?

    Offenbar ist diese versteckt. Das machen in der Regel nur Systemprozesse oder Trojaner.
    Aufgrund der anderen Indizien ist das aufjedenfall ein Trojaner.





    Weiteres Beispiel für einen Trojaner:

    Spoiler:
    Ihr seht in HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    einen Schlüssel, der skypeupdate heißt.
    Der Pfad dazu ist jedoch so ähnlich wie:

    C:\Users\Daniel\AppData\Local\374749\skypeupdate.e xe

    Das ist mit hoher Wahrscheinlichkeit ein Trojaner.

    Nun geht es darum, diesen natürlich zu löschen. Da der Prozess ja vermutlich läuft (ist ja im Autostart),
    muss man ihn im Taskmanager zunächst beenden.

    Ihr sucht also im Taskmanager diesen Prozess.
    Falls ihr ihn nicht gut findet, einfach im Taskmanager Prozess für Prozess nacheinander einen Rechtsklick machen
    und auf "Eigenschaften" klicken.
    Dort wird euch der Pfad angezeigt und ihr könnt den verdächtigen Prozess dann beenden und
    löschen.



    Habt ihr dies gemacht und alle verdächtigen Prozesse beendet, aus dem jeweiligen Pfad gelöscht und
    den Autostarteintrag (in der Registry gelöscht), geht es zum nächsten Schritt.



    Msconfig Prüfung:
    Nun gebt ihr ein "msconfig" und wechselt in den Tab "Systemstart" (sofern ihr kein Win 8 oder Win 8.1 / Win 10 habt).
    Vista/7 einfach die Programme dort prüfen und wieder ausführen, was unter dem Hook Spoiler steht.
    Bei Win 8/8.1/ oder Win 10 geht das über Taskmanager -> Tab "Autostart"


    Autostartordner Prüfung:
    Als nächstes geht es darum, den Autostart Ordner (das ist nochmal ein besonderer Ordner), zu prüfen.
    Dazu WindowsTaste + R drücken, danach shell:startup eingeben.

    Da seht ihr möglicherweise .Exe Dateien , die ihr auch begutachten solltet (siehe dazu Hook Spoiler).



    -----------------------------------------------------------------------------------------------------------------------------------------------------------------




    Schritt 2/3: Verdächtige Prozesse im Taskmanager erkennen / Sicherheitszertifikate und Pfade
    Spoiler:

    1.) Hook Spoiler beachten
    2.) Abgesehen von Dateinamen und Pfad (siehe Hook Spoiler) , gilt es Zertifikate zu überprüfen.
    Klickt ihr unter Eigenschaften auf den Tab "Digitale Signaturen" und ihr seht dort eine Signatur in der Liste,
    könnt ihr diese Datei getrost in Ruhe lassen, denn es handelt sich mit hoher Wahrscheinlichkeit NICHT um einen Virus,
    sondern ein herkömmliches Programm.






    -----------------------------------------------------------------------------------------------------------------------------------------------------------------
    Schritt 4: Der Tempordner

    WindowsTaste + R danach %TEMP% eingeben.

    -Ihr löscht jetzt einfach alle Dateien aus dem Ordner (Strg + A zum auswählen aller Dateien, danach einfach löschen).
    -Jetzt erscheint vermutlich ein Dialog, dass einige Dateien nicht gelöscht werden können, dort einfach auf Überspringen klicken.
    Jetzt findet ihr möglicherweise immernoch .Exe Dateien im Ordner(das sind dann welche, die derzeit geöffnet sind).

    Nun wieder das beachten, was in Hook Spoiler steht und was ihr in diesem Thread gelernt habt.


    Das wäre es soweit. Falls ihr etwas nicht versteht, könnt ihr gerne Kontakt aufnehmen.
    Geändert von !lkay (01.02.2015 um 15:18 Uhr)

  2. The Following 9 Users Say Thank You to !lkay For This Useful Post:

    American Psycho (15.03.2021), Benzol (15.02.2015), Fregaton (01.02.2015), Knut67 (01.02.2015), Open Thought (01.02.2015), phantomjunior (05.02.2015), Published (01.02.2015), Sido (01.02.2015), Varioas (01.02.2015)

  3. #2
    Avatar von American Psycho
    Registriert seit
    28.11.2016
    Beiträge
    52
    Thanked 28 Times in 17 Posts

    Standard AW: [TUT] Trojaner aufspüren

    Bist du auch heute noch der Meinung, dass Signaturen vertrauenswürdig sind? Es ist ja zunehmend von Schadsoftware zu hören, die digital mit einem gültigen Zertifikat signiert wurde. Entweder haben die Angreifer das Zertifikat geklaut oder teils sogar ganze CAs infiltriert, sodass gültige Zertifikate ausgestellt werden konnten. Gibt noch weitere Methoden, aber mir scheint es zumindest heute so, als wäre das nicht mehr wirklich ein Anzeigen von Vertrauenswürdigkeit.

    Jedenfalls Danke für deinen guten Thread und die Mühe die dahinter steckt! Ist interessant und informativ

Ähnliche Themen

  1. BKA Trojaner
    Von Published im Forum Windows
    Antworten: 9
    Letzter Beitrag: 20.10.2013, 18:09
  2. [Vorstellung] Trojaner
    Von Trojaner im Forum Userankündigungen
    Antworten: 26
    Letzter Beitrag: 03.04.2012, 20:56
  3. [TuT] Trojaner entfernen
    Von The Don of NYC im Forum Security
    Antworten: 10
    Letzter Beitrag: 16.02.2012, 09:56
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.