News 14.07.2000, 01:15 Uhr

Das Pferd, das sie «Ratte» nannten

Eine üble Klasse der trojanischen Pferde nennt sich «RAT» und bezeichnet jene Schädlinge, die der Spionage über Web-Kanäle dienen.
Die Leidenswege geplagter PC-Benutzer, die sich in Security-Newsgroups outen, lesen sich manchmal wie kleine Kriminalromane. *)Heinrich Z. aus B. schreibt, dass er keine Passwörter ändern kann, ohne kurze Zeit später von einem Unbekannten eine schadenfrohe Notiz zu erhalten, dass jener die Passwortänderung zur Kenntnis genommen hat. *)Christine B. findet auf ihrer Kreditkarten-Rechnung regelmässig Belastungen, die sie nicht verursacht hat. Und dies, obwohl sie diese Nummer nur ein einziges Mal online verwendet hat, und zwar bei einer top-seriösen Firma.
Nicht selten sind in solchen Fällen "Ratten" (RATs) am Werk. Der Ausdruck "RAT" hat weniger mit den intelligenten Nagern zu tun, sondern vielmehr mit der Abkürzung für "Remote Access Trojan". Damit sind trojanische Pferde gemeint, die einem Hacker Fernzugriff auf den PC seines Opfers erlauben. RATs bestehen in der Regel aus zwei Teilen: Einem Client-Programm, das beim Opfer installiert wird und einem Server, den ein Hacker auf seiner eigenen Maschine betreibt. Umgekehrt wird ein Schuh draus: Ist auf einem PC der Client nicht installiert, oder ist ein zuverlässiger Firewall vorhanden, rennt sich der Hacker in seiner Erfolglosigkeit den Kopf ein!
Die Griechen haben damals ein grosses hölzernes Pferd vor Trojas Tore gestellt und rechneten damit, dass die Bürger der gut befestigten Stadt es aus Neugierde in ihre Mitte nehmen. Natürlich waren im Holz-Gaul griechische Soldaten versteckt, die dann von innen die Tore für die griechische Armee öffneten, worauf Troja in einer ziemlich blutigen Schlacht fiel.
Und so läuft's in der heutigen Zeit ab:
1. Das Pferd fährt durch die Pforte: Der Besitzer des RAT-Server-Programmes (= Hacker) versucht über alle erdenklichen Wege möglichst viele Benutzer dazu zu bringen, den RAT-Client zu installieren. Das erreicht er vielleicht schon durch direktes Versenden des Clients per Mail oder IRC (Internet Relay Channels). Natürlich animiert er die Empfänger mit verlockenden Betreffs und Sprüchen dazu, die Mail-Beilage einfach doppelzuklicken. Neuerdings dienen auch Internet-Würmer (wie z.B. VBS/LoveLetter) der Verbreitung von RAT-Clients. Für einen VisualBasic-Kenner ist es nämlich ein Leichtes, ein Script zu entwickeln, das sich selbst an alle Outlook-Adressen verschickt und nebenbei noch den Trojaner herunterlädt.
2. Türen öffnen: Wird das trojanische Pferd durch den ahnungslosen Benutzer ausgeführt, werden die Türen geöffnet. Der RAT-Client tut dann nichts anderes als so genannte Ports im Internet-Protokoll zu öffnen und über diese seine Dienste anzubieten. Diese Dienste warten dann geduldig im Hintergrund auf den Zugriff von aussen.
3. Die Soldaten entern die Stadt: Der Hacker braucht daraufhin lediglich nach Opfern zu suchen. Dies tut er, indem er seinen RAT-Server startet und ihm die Aufgabe gibt, die Ports zu scannen. Da jeder Internet-PC eine IP-Adresse hat, scannt er jede IP-Adresse eines vom Hacker vorgegebenen Nummern-Bereiches durch, bis er einen PC gefunden hat, auf welchem die Tür offen ist und der Client läuft.
4. Die Schlacht: Wenn auch weniger blutrünstig als zu Trojas Zeiten, können die Folgen für einen betroffenen PC-Benutzer trotzdem verheerend sein. Aus der Ferne kann der Hacker über den installierten Remote-Access-Client beispielsweise sämtliche Tastatur-Eingaben seines Opfers verfolgen. So kommt er auch an persönliche Daten, wie Passwörter oder eben die Kreditkarten-Nummer.
Und nun: Troja zu retten ist schwierig, wenn die Armee schon in Ihrer Stadt sitzt und über jeden Ihrer Schritte Bescheid weiss. Trotzdem gibt es für die PC-Version der "Schlacht um Troja" gute Optionen. Eine davon ist das Loswerden der "Ratte", bzw. des Remote-Access-Trojaners. Viele Antiviren-Programme können Trojanische Pferde aufspüren und bei deren Beseitigung helfen. Sollten Spitzen-Finder wie AVP [1] oder F-Prot [2] nichts aufdecken, lohnt sich für Sie bei RAT-Verdacht ein Blick in die Arsenale spezialisierter Krieger: Moosoft [3] mit The Cleaner und Agnitum mit Tauscan [4] behaupten von sich, bei den meisten Trojanischen Pferden die Achillesferse finden und sie von einem PC beseitigen zu können. Und es hat sich herumgesprochen, dass beide Tools in Sachen Remote-Access-Trojaner wirklich eine beachtliche Erfolgsrate aufweisen.
Ein zweiter Ansatzpunkt ist das Verstärken der Stadtmauer. Installieren Sie einen Desktop Firewall. Dieser tut folgendes: Scannt ein Hacker von aussen Ihre Ports, wird ihm kein Zugriff gewährt. Zudem wird der Firewall Sie jeweils fragen, welches Programm Ihre Daten ins Web übermitteln darf. Dies macht RATs (Remote Access Trojaner) von vorneherein wirkungslos. Für private Benutzer ist ZoneAlarm [5] von ZoneLabs sogar kostenlos. Waren Sie ein Opfer eines RATs, ändern Sie am besten erneut Ihre Passwörter, sobald Sie sich entsprechend gewappnet haben.
Zu guter Letzt: Die am weitesten verbreiteten Computer-Schädlinge sind immer noch die Viren und Mail-Würmer. Diese sind und bleiben die Aufgabe Ihres Antiviren-Programmes. Der Kauf eines speziellen Anti-Trojaner-Tools lohnt sich erst, wenn sich ein starker Trojaner-Verdacht erhärtet. Wie bei herkömmlichen Computerviren ist die beste Verteidigung immer noch die Skepsis gegenüber jeder Mail-Beilage.
*)Namen natürlich von der Redaktion geändert


Kommentare

Es sind keine Kommentare vorhanden.