1. Portscanner
2. Trojanische Pferde und Würmer
3. Viren
4. 0190 Dialer
5. Firewall Links

1. Portscanner

Was sind Portscanner?
Wozu soll man überhaupt Ports scannen? Zunächsteinmal handelt es sich bei den Ports um verschiedene spezifische
Kommunikationskanäle, die auf TCP/IP aufsetzen. Jeder dieser Ports stellt einen Dienst bereit! Dienste wie SMTP
(hauptverantwortlich für die Übertragung von Mails) oder HTTP (zuständig für die Übertragung von HTML-Datein) besitzen einen
eigenen reservierten Port.
Beispielsweise besitzt ein sehr bekannter Dienst wie HTTP die Portnummer 80. Weitere sehr bekannte Dienste FTP, Telnet oder
SMTP belegen jeweils die Ports 21, 23 und 25.
Ein Portscanner kann dementsprechend Informationen über den Status der jeweiligen Ports eines Servers liefern.

Was erreicht man mit Portscanner?
Mit einem einfachen Portscanner kann ermittelt werden, welche Dienste auf dem entsprechenden Server laufen, unter welcher User-ID
diese Dienste laufen, die Zulassung von anonymen Logins und ob eine Authentifizierung für entsprechende Dienste erforderlich ist.
So ist Beispielsweise der SMTP-Port von www.fbi.gov gesperrt.

Sind Scanner ein Sicherheitsrisiko?
Scanner sind der erste Schritt um Schwachstellen in einem Netzwerk aufzuspüren. Nicht selten erzeugt man deshalb mit solchen
Scanvorgängen, schnell die Aufmerksamkeit der jeweiligen Systemadministratoren.
Selbstverständlich handelt es sich dann nicht mehr um einfache Scanner. So existieren eine Reihe von Freeware-Scannern die
zahlreiche Angriffsmuster enthalten und diese auch automatisch austesten.
Eine nahezu unerschöpfliche Quelle an Scannern und andern Tools stellt der Navigator von ParaMind bereit.

Handhabung von Scannern
Einfache Portscanner begnügen sich mit der Eingabe einer IP-Adresse. Daraufhin werden alle Ports nach verfügbaren Diensten
gescannt. Die ermittelten Ergebnisse können in den meisten Fällen als ein Logfile abgespeichert werden.

 

 

2. Trojanische Pferde und Würmer


Was sind Trojanische Pferde?
Trojanische Pferde sind Programme, die eine schädliche Funktion beinhalten. Nicht selten verfügen Trojanische Pferde über ein für Anwender sehr nützliche Funktion. Die schädliche Funktion läuft lediglich im Hintergrund ab, ohne das dieses bemerkt wird.

Bekannte Trojaner sind z.B.:

Back Orifice - der erste
NetBus - der bedienungsfreundliche
SubSeven - der gefährliche

Trojanische Pferde arbeiten nach verschiedenen Mustern. Zu einem gibt es Programme (Exe-Dateien), die keinerlei für den Anwender nützliche Funktionen aufweisen. Lediglich wird nach einem Start des vermeintlichen Programmes ein Trojaner auf dem PC installiert. Damit kein Verdacht geschöpft wird, erscheinen Fehlermeldungen, dass eine bestimmte Datei nicht vorhanden ist, um das vorgegebende Programm zu starten.
Der Anwender löscht enttäuscht dieses unbrauchbare Programm und macht sich weiter keine Gedanken darüber.
Desweiteren gibt es auch wesentlich "klügere" Trojanische Pferde, die sich hinter einem durchaus brauchbaren Programm verbergen. Wird das Programm installiert, kann es oft Monate dauern, bis ein Anwender bemerkt, dass sich ein schädliches Programm auf seinem System befindet.

Viele Trojaner installieren sich so auf dem System, damit dieses bei jedem Systemstart ebenfalls mitgestartet wird. - Somit läuft dieses Programm ständig im Hintergrund mit.

Andere Trojanische Pferde starten erst, wenn ein bestimmter Vorgang (Start eines anderen Programmes) auf dem System stattfindet.

 

Wozu sind Trojaner in der Lage?
Die meißten Trojaner sind darauf aus, Benutzerdaten eines Online-Dienstes auszuspähen, nicht selten nur von einem bestimmten Provider. Trojaner, die ständig im Hintergrund im betroffenden System mitlaufen, zeichnen mitunter sämtliche Tastaturfolgen auf. - Dieses bedeutet, alle Daten, die der Anwender über die Tastatur eingibt. - Hier nutzt es leider gar nichts, wenn der Anwender sein Passwort für einen Online-Dienst nicht abspeichert, sondern erst bei der Anmeldung eingibt. Die gesammelten Daten werden nach der Einwahl unbemerkt an den Autor des Trojanischen Pferdes geschickt.
Da die gesammelten Daten nach der soeben genannten Arbeitsweise, häufig viel zu gross und undurchsichtig für den Autor des Trojaners sind, arbeiten viele Trojanische Pferde weitaus intelligenter.
Die "besseren" Trojaner, zeichnen lediglich die Tastaturfolgen auf, die den "Hacker" interessieren. Dazu könnten Eingaben von Passwörtern für Online-Dienste/ Mail-Accounts/Webseiten/FTP/ Kreditkarten-Nr., Konten usw. gehören. - In einigen Fällen werden sogar Home-Banking-Programme überwacht und die Daten weitergeschickt. Für den Hacker hat es den Vorteil, er gelangt nur an die für ihn relevanten Daten und muss diese somit nicht aus einem riesigen "Datenberg" rausfiltern. Diese Arbeitsweise von Trojaner ist als sehr gefährlich einzustufen, da diese die Eigenschaften besitzen können, an sämtliche Daten eines Anwenders zu gelangen.

Beseitigung Trojanischer Pferde
Du hast ein Trojanisches Pferde auf Deinem System entdeckt. Bei der Beseitigung ist einiges zu beachten, damit Du in Zukunft wieder Trojanerfrei arbeiten kannst.

Ich gebe Dir eine Schritt für Schritt Anleitung, wie Du vorgehen mußt, um diesem "Plagegeist" entgültig an den Leib zu rücken.

Wichtig: Der Trojaner "Sockets de Troie" kann nicht über die beschriebenen Wege entfernt werden. - Dazu empfehle ich Kaspersky AntiVirus (ehemals AVP)


Anleitung Version 1

Schritt 1
Nachdem Du eine Eintragung gefunden hast (siehe unbedingt Rubrik "Erkennung)", notiere Dir diese bitte, bevor Du den Eintrag löschst. Es ist unerheblich, wo sich der Eintrag befindet (Win.ini, Registrierung usw.), wenn Du diesen Schritt vornimmst.


Schritt 2
Lösche die gefundene Eintragung und starte Windows neu. Nun wurde der Trojaner nicht mehr bei Systemstart erneut geladen. - Dieser Schritt hat den Hintergrund: Dateien, die noch ausgeführt (also im System mitlaufen) können nicht gelöscht werden.

Schritt 3
Die notierte Eintragung (siehe Schritt 1) muss jetzt auf Deinem System gesucht werden. Es handelt sich nämlich auch um den Programmnamen des Trojanischen Pferdes. Suchen geht am Besten wie folgt: Windows-Start-Button - Suchen - Dateien/Ordner - Programmnamen eingeben und suchen lassen. Die gefundene Datei löschen. Es kann passieren, dass diese Datei sogar mehrfach auf Deinem System vorhanden ist. - Manche Trojaner, legen mehrere Kopien auf einem System an, jedoch stets im Laufwerk C.


Vorsichtshalber lasse auch alle anderen Laufwerke (falls vorhanden) durchsuchen und lösche gegebenfalls auch diese Dateien. Es kann durchaus sein, dass sich immer noch die Original-Datei auf Deinem Computersystem befindet, womit Du den Trojaner "zum Leben" erweckt hast.


Schritt 4
Starte aus Sicherheitsgründen nochmal Dein System neu. Jetzt gehe bitte erneut die einzelnen Möglichkeiten aus meiner Rubrik "Erkennung" durch. - Wenn Du nichts mehr finden kannst, ist der Trojaner entfernt.


Solltest Du das Trojanische Pferd auf diese Weise nicht entfernen können, musst Du bitte folgendes tun:
Gehe vor dem Schritt 1 in den abgesicherten Modus ! ! ! So kommst Du in den abgesicherten Modus von Windows:
Starte Dein System neu. Bei Windows 98: Die "Strg-Taste" beim Start gedrückt halten, bei Windows 95 die "F8-Taste" drücken, wenn die Meldung "Windows wird gestartet" erscheint. Jetzt kommt ein Menü, aus dem Du "abgesicherten Modus" wählst. Der Start wird jetzt länger dauern als gewohnt. Nicht erschrecken, sollte Deine Festplatte wie verrückt rattern, ist normal, genau wie die grosse Auflösung, die dann erscheinen wird.

Anleitung Version 2 (Die Einfachste und Schnellste)
Nachdem Du den Trojaner identifiziert hast und den Namen, sowie Pfad kennst (z.B. schon mit Hilfe eines ProcessViewers), beende dieses Programm mit Hilfe eines Process Viewers (findest Du unter meiner Rubrik "Security - Tools". Gleich danach kannst Du den Trojaner löschen, OHNE Windows dauernd neu starten zu müßen. Sei jedoch vorsichtig und sorgsam, WAS Du löschst. Eine wichtige, gelöschte Systemdatei könnte unter Umständen Dein gesamtes System zerstören ! ! !
Danach entferne noch den "Run-Eintrag" (z.B. aus Win.ini, Registrierung etc.). Solltest Du vergessen, den Run-Eintrag zu löschen kann es eventuell passieren, dass Windows nach jedem Neustart des Systemes eine Fehlermeldung über eine nicht gefundene Datei ausgibt (kann, aber muss nicht sein, je nach Eintragungsort).

Ein sehr gutes Hilfsprogramm unter dem Namen "TrojanCheck" erleichtert dir die Arbeit erheblich. Das Programm ist Freeware und unter: http://www.trojancheck.de erhältlich.


ACHTUNG !
Man könnte durchaus auch die DOS-Ebene nutzen um Trojaner zu entfernen. Da sich ein grosser Teil von Anwendern jedoch mit DOS nicht auskennt (ich selber auch nicht so besonders :-o), verzichte ich auf derweilige Beschreibungen. Desweiteren gibt es Trojaner, die sich ohnehin auch in der DOS-Ebene nicht entfernen lassen, da diese auf DOS basieren bzw. unter DOS gestartet werden oder entsprechende Verweise enthalten. Für diese Art von Trojanern erweist sich die die "Anleitung Version 2" am Besten ! !


Was sind Würmer?
Bei Würmern handelt es sich - im Gegensatz zu den Viren - nicht um Fragmente, die sich an andere Programme anhängen, sondern um eigenständige Programme. Oftmals sind es VBS Skripte die als Anhänge von e-Mails versand werden (ein bekanntes Beispiel ist der "I LOVE YOU" Virus, der genau genommen kein Virus war).
Würmer bewegen sich aktiv fort. Z.B. versenden sie sich automatisch an alle Adressen des MS-Outlook-Adressbuchs des infizierten Computers (diese Fortbewegung ist gleichzeitig eine Vermehrung). Die Mehrheit der Würmer hat eine Schadensfunktion.

 

 

3. Viren

Was sind Computerviren?
Fachzeitschriften, Fernsehen und sonstige Medien geben immer wieder Horromeldungen über Computer-Viren heraus. - Es ist schon richtig, dass jeden Monat zwischen 150-250 neue Viren auf dem "Markt" kommen. Hierbei sei jedoch erwähnt, nicht alle Viren gelangen in der Tat in die "freie Wildbahn". Die grösste Anzahl der Virenprogrammierer ist gar nicht darauf aus, ihre Viren auf die "Computerwelt" loszulassen. - Lediglich werden diese Viren in Bulletin Boards, WWW-Seiten zum Download/Tausch angeboten. Sehr häufig werden diese Viren auch den Herstellern von Anti-Viren-Programmen zugespielt. Nicht umsonst besitzen die Anti-Viren-Software-Hersteller die grössten Virendatenbanken weltweit. Erstaunlich ist es, die meissten Viren, die sich in "freier Wildbahn" befinden, werden selbst von recht alten Anti-Viren-Programmen gefunden und beseitigt. In letzter Zeit sorgten jedoch Virenmeldungen wie über den Melissa-/CIH Virus für Furore und versetzte viele User in Angst und Schrecken. Zur Zeit ist zu beobachten, dass vor allem viele Trojanische Pferde sich im Umlauf befinden. Siehe hierzu jedoch meine Trojaner-Rubrik.
In der Umgangssprache wird meisstens nur das Wort Virus genannt, wenn man an Programme mit schädlichen Wirkungen denkt. Hiermit sind Viren im eigentlichen Sinne, Trojanische Pferde, logische Bomben, Internetwürmer oder auch Hoaxe gemeint. Der Fachmann nennt derartige Programme/Dateien "Malicious" (böswillige Software), kurz gesagt wird jedoch meisst von "Malware" gesprochen.

In dieser Rubrik sind jedoch hauptsächlich Informationen zu Computerviren zu lesen.

Viren sind Codefragmente, die sich an andere Daten anhängen und sich bei der Ausführung oder weiteren Bearbeitung vermehren. Daten können nicht nur Programme, sondern auch Dokumente, Bootsektoren und sogar in manchen Fällen Bilddateien (betrifft jedoch nicht alle Formate) sein, welche befallen werden.

In der Regel kann sich ein Virus im herkömmlichen Sinne nicht selber verbreiten. Sich selber verbreitende Viren sind als Würmer oder Trojanische Pferde zu bezeichnen. Somit kann man die Verbreitung mit Krankheitsviren im normalen Leben mit Computerviren durchaus bezüglich ihrer Verbreitung vergleichen. - Ein Grippevirus wird auch meisst von Mensch zu Mensch übertragen....

 

Verschiedene Virenarten

Dateiviren
Dies sind Viren, die sich selbst an .COM- und .EXE-Dateien (ausführbare Programme) anhängen (oder Teile davon ersetzen). In einigen Fällen werden auch Dateien mit den Erweiterungen .SYS, .DRV, .BIN, .OVL und .OVY befallen. Diese Virenart infiziert Programme in der Regel, wenn sie ausgeführt werden, während sich der Virus im Arbeitsspeicher befindet. In anderen Fällen werden Dateien infiziert, wenn sie geöffnet werden (z.B. mit dem DOS-Befehl DIR), oder der Virus infiziert einfach alle Dateien in dem Verzeichnis, aus dem er gestartet wurde (Direktinfektion).

Bootsektorviren
Jedes logische Laufwerk, sowohl Festplatte als auch Diskette, enthält einen Bootsektor. Das gilt auch für Datenträger, die nicht startfähig sind. Der Bootsektor enthält spezielle Informationen über die Formatierung des Datenträgers und die darauf gespeicherten Daten. Er enthält außerdem eine kleines Programm, das Startprogramm, das die Systemdateien lädt. Dieses Startprogramm zeigt auch die geläufige Meldung "Non-system Disk or Disk Error" (Keine Systemdiskette oder Diskettenfehler), wenn die DOS-Systemdateien nicht auf dem Datenträger vorhanden sind. Dieses Programm wird von den Bootsektorviren infiziert. Ein Bootsektorvirus wird übertragen, wenn eine infizierte Diskette im Laufwerk liegt und wenn der Computer gestartet wird. Bei der Ausführung des Startprogramms wird der Virus in den Arbeitsspeicher geladen und infiziert den Bootsektor der Festplatte. Da jede Diskette einen Bootsektor hat, ist es auch möglich EDV-Systeme durch eine Diskette zu infizieren.

MBR (Master Boot Record)-Viren
Der erste physische Sektor jeder Festplatte enthält den Master Boot Record (Hauptstartbereich) und die Partitionstabelle. Der Master Boot Record enthält das Hauptstartprogramm, das in der Partitionstabelle die Werte für den Startbereich der startfähigen Partition ermittelt und das System anweist, dorthin zu gehen und den dort vorgefundenen Code auszuführen. Bei einer korrekt eingerichteten Festplatte befindet sich an dieser Stelle ein gültiger Bootsektor. Auf Disketten infizieren diese Viren den Bootsektor.
Ein MBR-Virus wird auf dieselbe Weise übertragen wie ein Bootsektorvirus - durch Starten des Computers mit einer infizierten Diskette im Laufwerk. Wenn das Startprogramm gelesen und ausgeführt wird, gelangt der Virus in den Arbeitsspeicher und infiziert den MBR der Festplatte.

Mehrteilige Viren
Mehrteilige Viren sind eine Kombination aus den bisher vorgestellten Virenarten. Sie infizieren sowohl Dateien als auch Bootsektoren bzw. MBRs. Diese Virenart ist noch ziemlich selten, aber die Anzahl der Vorkommnisse wächst ständig.
Hoax-"Viren"
Hoaxes sind im eigentlichen Sinne keine Viren, sondern Programme die nur so tun. Dazu gehören insbesondere Emails die es darauf anlegen den Leser mit falschen Behauptungen zu verunsichern. Mit Betreffzeilen soll Neugierde oder auch Mitleid erzeugt werden. Der Empfänger wird gebeten die betreffende Mail an möglichst viele andere Emailadressen weiterzuleiten. Zweck solcher eMails ist es ausschließlich den Emailverkehr zu belasten und damit unerwünschte Kosten zu verursachen.
Wenn Sie ein Mail von einem unbekannten Absender erhalten und den Verdacht hegen es könnte sich um ein Hoax handeln, dann tun Sie nicht das was der Absender sich erhofft, sondern löschen die Mail.

Makroviren
Makroviren infizieren keine Programme, sondern Dateien von Textverarbeitungen, Tabellenkalkulationen und Datenbanken. Dies geschieht dadurch, daß der Makrovirus in einem Dokument oder einer Dokumentenvorlage gespeichert ist. Wird solch ein Dokument geöffnet, so wird der Makrovirus aktiviert, auf den Computer übertragen und in der Dokumentvorlage Normal (normal.dot) gespeichert. Ab diesem Zeitpunkt wird jedes Dokument, das Sie neu erstellen und speichern automatisch mit dem Makrovirus infiziert. Öffnet nun ein anderer Benutzer ein infiziertes Dokument, wird das Makro auch auf dessen Computer übertragen.
Makroviren können Schäden in gleichem Umfange anrichten wie Computerviren schlechthin.
Ermöglicht wird die Herstellung von Makroviren durch die leistungsfähigen Makrosprachen, wie etwa WordBasic und VBA (Visual Basic for Applications), die alle notwendigen Befehle enthalten um komplexe Programme und somit auch voll funktionsfähige Viren zu schreiben.
Bekannt sind Makroviren unter anderen für Microsoft Word 2.0, 6.0, 7.0, 8.0 (Word97), Excel 4.0, 5.0, 7.0 und 8.0 (Excel97), Access 2.0 und Access97. Insbesondere Makroviren für Word 6.0/7.0 und Excel sind stark verbreitet. Es sind einige wenige Makroviren für anderen Textverarbeitungen und Datenbanken bekannt, wie etwa "AmiPro/GreenStripes.A", diese gelten jedoch als reine Laborviren und sind bei den Anwendern nie aufgetreten.

Word kann keine Disketten, Festplatten oder Netzlaufwerke überprüfen, um Makro-Viren zu suchen und zu entfernen. In Word kann jedoch eine Warnmeldung angezeigt werden, wenn Sie ein Dokument öffnen, bei dem Makros eingebunden sind, die möglicherweise einen Virus enthalten. In diesem Fall können Sie das Dokument mit oder ohne die eingebundenen Makros öffnen:
Enthält das Dokument nützliche Makros ,möchten Sie es möglicherweise mit den eingebundenen Makros öffnen.
Enthält das Dokument vermutlich keine Makros, oder ist die Quelle unbekannt bzw. mißtrauen Sie der Quelle, sollten Sie das Dokument ohne Makros öffnen, um die mögliche Übertragung von Makroviren zu vermeiden. Dies gilt z.B., wenn Sie das Dokument als Anlage einer E-Mail-Nachricht oder über ein unsicheres Netzwerk bzw. Internet-Site erhalten.
Die Überprüfung auf Makroviren kann in Word folgendermaßen aktiviert werden: Klicken Sie im Menü Extras auf Optionen. Klicken Sie danach auf die Registerkarte Allgemein, und aktivieren Sie dann das Kontrollkästchen Makrovirus-Schutz.

HTML-Viren
Diese Viren sind sämtlich SB-Viren (Script-based) und wurden erstellt und auf Hacker-Websites deponiert, um Löcher im Sicherheitssystem des MS Internet-Explorers offenzulegen. HTML Offline, HTML Redirekt Companion und HTML Internal sind die bekanntesten HTML-Viren. Die Schäden die diese Viren verursachen sind nicht zu unterschätzen, da diese z.T. alle HTML-Dateien überschreiben oder auch die Startseite einer WEB-Anwendung (Datei: Index.htm) durch eine Seite mit anderem Inhalt ersetzen.

Trojanische Pferde
Trojanische Pferde sind Programme, die neben der eigentlichen Funktion eine verborgene und schädliche Wirkung beziehungsweise Nebenwirkung zeigen.

So tarnen sie sich zum Beispiel als nützliches Tool und richten statt dessen Schaden an, ohne sich aber wie ein Virus zu vermehren. Dabei kann z.B. das "nützliche Tool" den Anschein normaler Funktionalität erwecken. So wird normalerweise das "trojanische Programm" als bekanntes Spiel oder Programm angepriesen, doch das ursprüngliche Programm durch ein meist bösartiges Programm vollständig oder teilweise ausgewechselt oder das bösartige Programm "angehängt".

Genau genommen ist dabei das "bösartige Programm" allein kein Trojanisches Pferd. Erst im Zusammenspiel mit dem Trägerprogramm (welches den Benutzer dazu "motiviert", es zu starten) ist es ein Trojanisches Pferd. Dies ist auch der Grund, warum die Trojaner nicht in die Gruppe der Viren eingestuft werden. Denn sie vermehren sich nicht von selbst, sondern über Trägerprogramme, die von den Anwendern unbewußt (oder auch bewußt) verbreitet werden.

Das sogenannte "bösartige Programm" muß nicht zwangsläufig immer ein Backdoor-Programm sein. Genauso kann z.B. ein Programm verborgen sein, welches die Verzeichnisstruktur zerstört, Daten löscht oder Netzwerkfreigaben auf dem Rechner durchführt.

Würmer (Worms)
Würmer sind eigenständige Programme, die sich in einem Netzwerk beliebig oft selbst vermehren und dabei Rechenzeit blockieren. Würmer infizieren keine anderen Dateien. Durch den Aufruf eines Wurmprogramms werden das Netzwerk und die daran angeschlossenen Rechner verlangsamt. Je mehr sich das Wurmprogramm vermehrt, um so langsamer wird das Netzwerk oder der Rechner, bis hin zum Stillstand oder Zusammenbruch von geschlossenen oder offenen Netzwerken wie das Internet.

 

 

4. 0190 - Dialer

Was sind 0190-Dialer ?
Viele Webseiten bieten Ihre Angebote nicht mehr nur auf herkömmliche Art und Weise an. Früher musste der Interessent sich registrieren lassen und bezahlte die Leistung per Kreditkarte, Überweisung, Abbuchung o. ä. Heute kann der Kunde "bequem" und "anonym" per Telefonrechnung bezahlen, indem die Verbindung über eine 0190-Servicenummer (oder eines Providers, der seine Gebühren selber bestimmen kann - z.B. 0193....) aufgebaut wird. Um dem Kunden diese Sache zu erleichtern, werden sogenannte Dialer oder auch Highspeedzugänge zum Download angeboten. Der Kunde lädt sich das Programm herunter, installiert es und wählt sich ein. Der Preis für eine Minute kann von Anbieter zu Anbieter schwanken, doch sind 1,863 €/Min. die Regel geworden.

In der Regel wird eine neue DFÜ-Verbindung erstellt, die mit einer definierten Benutzerobfläche gekoppelt wird. Siehe "Arbeitsplatz" -> "DFÜ-Netzwerk", hier sind alle definierten DFÜ-Verbindungen sichtbar.

Die angebotenen Dienstleistungen mittels 0190-Zugänge reichen von erotischen Materialien (Adult Branche) über Software bis zu Klingeltöne für Handys oder Informationen aller Art.

Das ganze Konzept ist in seiner Grundidee sicherlich nicht die schlechteste Art und Weise um etwas zu verkaufen. Vorausgesetzt, der Kunde wird genauestens über die anfallenen Kosten informiert bzw. während der Verbindung über die bisher aufgelaufenen Gebühren aufgeklärt. Leider gibt es jedoch auch hier (wie in vielen anderen Geschäftsbereichen) sehr dubiose Anbieter, die den Anwender mit voller Absicht täuschen und abzocken. Dazu sollten die anderen Themen dieser Rubrik gelesen werden.

Dialer - Programme wenden unterschiedliche Methoden zum Aufbau einer Verbindung auf. Wie bereits erwähnt, geschieht das in den allermeissten Fällen mittels einer neu definierten DFÜ-Verbindung.

Doch könnte ein Dialer auch mittels der CAPI (bei ISDN Nutzern !) eine Verbindung aufbauen. Diese Dialer wählen eigentlich nur so eine teure Rufnummer an um damit Geld zu verdienen. - Für diese Einwahlen bekommt der Anwender in den meissten Fällen überhaupt keine Gegenleistung.

Auch mittels Create Sockets, öffnen von Ports, TAPI wäre es denkbar einen Verbindungsaufbau zu einer Rufnummer mittels PC zu realisieren.

Wie gelangt so eine Software auf mein System?
Viele Webseiten bieten Ihre Angebote nicht mehr nur auf herkömmliche Art und Weise an. Früher musste der Interessent sich registrieren lassen und bezahlte die Leistung per Kreditkarte, Überweisung, Abbuchung o. ä. Heute kann der Kunde "bequem" und "anonym" per Telefonrechnung bezahlen, indem die Verbindung über eine 0190-Servicenummer (oder eines Providers, der seine Gebühren selber bestimmen kann - z.B. 0193....) aufgebaut wird. Um dem Kunden diese Sache zu erleichtern, werden sogenannte Dialer oder auch Highspeedzugänge zum Download angeboten. Der Kunde lädt sich das Programm herunter, installiert es und wählt sich ein. Der Preis für eine Minute kann von Anbieter zu Anbieter schwanken, doch sind 3,63 DM/Min. die Regel geworden.

In der Regel wird eine neue DFÜ-Verbindung erstellt, die mit einer definierten Benutzerobfläche gekoppelt wird. Siehe "Arbeitsplatz" -> "DFÜ-Netzwerk", hier sind alle definierten DFÜ-Verbindungen sichtbar.

Die angebotenen Dienstleistungen mittels 0190-Zugänge reichen von erotischen Materialien (Adult Branche) über Software bis zu Klingeltöne für Handys oder Informationen aller Art.

Das ganze Konzept ist in seiner Grundidee sicherlich nicht die schlechteste Art und Weise um etwas zu verkaufen. Vorausgesetzt, der Kunde wird genauestens über die anfallenen Kosten informiert bzw. während der Verbindung über die bisher aufgelaufenen Gebühren aufgeklärt. Leider gibt es jedoch auch hier (wie in vielen anderen Geschäftsbereichen) sehr dubiose Anbieter, die den Anwender mit voller Absicht täuschen und abzocken. Dazu sollten die anderen Themen dieser Rubrik gelesen werden.

Dialer - Programme wenden unterschiedliche Methoden zum Aufbau einer Verbindung auf. Wie bereits erwähnt, geschieht das in den allermeissten Fällen mittels einer neu definierten DFÜ-Verbindung.

Doch könnte ein Dialer auch mittels der CAPI (bei ISDN Nutzern !) eine Verbindung aufbauen. Diese Dialer wählen eigentlich nur so eine teure Rufnummer an um damit Geld zu verdienen. - Für diese Einwahlen bekommt der Anwender in den meissten Fällen überhaupt keine Gegenleistung.

Auch mittels Create Sockets, öffnen von Ports, TAPI wäre es denkbar einen Verbindungsaufbau zu einer Rufnummer mittels PC zu realisieren.

Wie kann ich mich dagegen schützen ?
In jedem Fall sollten keine automatisch angebotenen Downloads einer EXE-Datei bei Eintritt einer Webseite angenommen werden. Hin und wieder passiert es im übrigen auch, dass bei Erwähnung einer Webseite (wo auch immer) ein direkter Download-Link genannt wird. In dieser Webadresse erscheint zwar keine Datei unter der Endung ".exe", doch wird diese URL auf einen Download-Link umgeleitet.

Das Programme unbekannter Herkunft nicht aus dem Web heruntergeladen und ausgeführt werden sollten, müsste eigentlich an dieser Stelle nicht mehr erwähnt werden. Das Gleiche gilt natürlich auch für ausführbare Dateien, die einem unverwünscht per E-Mail übermittelt worden sind. Dabei spielt es keine Rolle, ob der Absender bekannt ist oder nicht. Häufig werden derartige Spam-Mails mit gefälschten Absendern verschickt.

Da auch immer mehr Webseitenbetreiber dazu übergehen, mittels ActiveX einen Dialer auf dem System des Besuchers zu installieren ohne das es dieser überhaupt bemerkt, sollte der Browser entsprechend konfiguriert werden. Da nur der Internet Explorer ActiveX kennt und ausführen kann, sollten diese Funktionen in den Einstellungen (unter Internetoptionen) unbedingt deaktiviert werden. Andere Browser wie Netscape, Opera oder Mozilla ignorieren ActiveX und bieten lediglich den Download einer Datei an, sollte man über eine entsprechend modifizierte Seite im Netz stolpern. Diesen Download nicht bestätigen, sondern ablehnen ! Für den Netscape Browser gibt es zwar auch ein ActiveX Modul, welches durch den Anwender nachträglich installiert werden kann. Doch sollte darauf in jedem Fall verzichtet werden.

Man sollte sich immer vor Augen halten, dass Profis der Adult-Branche wirklich alle Tricks und Kniffe kennen, die Besucher auf ihr Webangebot zu locken. - Aber nicht nur das, wer diese ganze Rubrik aufmerksam liest.... Wie weit gewisse Methoden angewendet werden, hängt selbstverständlich von dem jeweiligen Betreiber selber ab. Auch sei nochmals erwähnt, dass es durchaus Anbieter gibt, die absolut seriös arbeiten und keinerlei faule Tricks anwenden.

Der beste Schutz überhaupt - 0190 sperren lassen
Diese Möglichkeit stellt sich als die beste und auch effektivste Möglichkeit zum Schutz hoher Telefonrechnungen dar !

Die Anwahl bestimmter Vorwahlbereiche kann für einen Telefonanschluss auch gänzlich gesperrt werden. Dabei können auch andere Vorwahlen zusätzlich einbezogen werden (z.B. 0193). Es muß jedoch auch erwähnt werden, dass die Telefongesellschaften hierfür in der Regel eine einmalige Gebühr verlangen (um die 7 bis 8 Euro). Dieser Betrag kann sich jedoch sehr schnell bezahlt machen und sollte in jedem Fall investiert werden. Andere Telefongesellschaften als die Deutsche Telekom werden so etwas sicherlich ebenfalls anbieten können, einfach mal beim jeweiligen Anbieter nachfragen.

Es ist jedoch zu empfehlen, die Sperrung später einmal zu überprüfen. Einige User berichten davon, dass die Gebühren für die Sperrung zwar erhoben worden sind, jedoch die 0190-Einwahl weiterhin möglich gewesen wäre. Ein Fehler seitens der Telekom, den man leicht per Telefon austesten kann, indem man mal kurz eine 0190-Rufnummer anwählt.

Folgende Vorwahlbereiche sollten in jedem Fall gesperrt werden:
0190 (die altbekannte Servicenummer)
0193 (hier kann jeder Anbieter die Gebühren selber festlegen und diese Nummer kann, aber muss nicht, genauso oder noch teurer als 0190 sein. Aber Vorsicht ! Auch einige seriöse Internetprovider benutzen diese Vorwahl zur Einwahl in das Internet. 0193 bedeutet also nicht immer gleich teuer !
0900 (diese Nummer wird im Laufe der Zeit die 0190 Vorwahlen ablösen. Hintergrund: Diese Rufnummer kann auch aus dem Ausland angewählt werden und wird entsprechend abgerechnet)

Bei dieser Methode hat kein Dialer mehr die Chance eine dieser Servicenummern durch den Anwender gewollt oder ungewollt anzuwählen.

Entgegen vieler Behauptungen, die Sperrung der 0190-Vorwahl kann durch vorangestellte Call by Call Rufnummern umgangen werden, ist laut Auskunft der Deutschen Telekom nicht möglich. Der Kunde kann zwar vor jeder Servicenummer (z.B. 0190, 0180, 0900, 0137 usw.) die Vorwahl einer anderen Telefongesellschaft wählen, doch wird diese durch die Technik der Telekom ignoriert. Uns ist auch schon häufig zu Ohren gekommen, die Hotline der Deutschen Telekom erteile diesbezüglich entgegengesetzte Informationen. - Wir haben uns das mehrmals von "höheren" Technikern der Deutschen Telekom bestätigen lassen !

Im übrigen bietet die Telekom verschiedene sogenannte Sperrklassen an. Hier steht einem der T-Punkt oder die Hotline mit Rat und Tat zur Seite.

Gänzliche "0190-Sperren" können seitens der Telekom vorgenommen werden oder es bietet sich auch eine andere Variante, indem der Kunde selber manuell über sein Telefon verschiedene Sperrmöglichkeiten mittels einer PIN einstellen kann. Die letzte Variante muss jedoch auch zunächst einmal freigeschaltet werden.

Browser, Betriebssystem und Mailprogramm sicherer konfigurieren
Wie das geht, kann in unserer Anleitung "Erste Hilfe im Internet" nachgelesen werden. In dieser FAQ sind auch andere wertvolle Tipps enthalten, auch wie man einen Browser sicher konfiguriert. Jeder sicherheitsbewusste Anwender sollte sich diese Anleitung ruhig einmal "antun". Denn das schützt nicht nur vor Dialern, sondern auch vor Trojanischen Pferden, die ebenfalls ein grosse Gefahr darstellen können.

Sicherheitsupdates für Internet Explorer aufspielen
Immer wieder werden neue Sicherheitslücken im genannten Browser aufgedeckt. Viele unseriöse Webseitenbetreiber nutzen schon längst bekannte (oder auch neue) Sicherheitslücken zur unbemerkten Dialerinstallation aus. Auch bei deaktiviertem ActiveX wäre die Installation eines Dialers möglich. In der Regel reicht es schon aus, wenn der Anwender die von Haus aus mitgelieferte "Windows Update" Funktion hin und wieder mal betätigt. - Dann geht sogar alles fast wie von selbst. Hier werden zwar nicht wirklich alle Sicherheitspatches tagesaktuell installiert, aber die wesentlichen Dinge sind sehr wohl schon mit dabei. Diese Verfahrensweise ist auch für Computer-Laien einfach durchführbar.


Sperrung über eine eventuell vorhandene Telefonanlage

Sehr viele Haushalte verfügen heutzutage schon über kleine Telefonanlagen, insbesondere ISDN-Teilnehmer.
Auch viele Telefonanlagen für den privaten Haushalt bieten die Möglichkeit bestimmte Rufnummern zu sperren oder freizugeben. Ob und welche Möglichkeiten diesbezüglich bestehen, hängt ganz von dem jeweiligen Modell ab. Hier sollte jeder Anwender sich mal die Bedienungsanleitung seines Gerätes vornehmen und entsprechend studieren. Wir können hier nicht alle Telefonanlagen beschreiben.

Oft kann man bestimmte Vorwahlbereiche (wie eben auch 0190 & Co.) sperren. Eine andere Variante wäre noch, einem bestimmten Port der Anlage nur die Rufnummern zu erlauben, die für den Internetzugang notwendig sind. Alle anderen Rufnummern werden geblockt und eine Einwahl durch Dialer ist nicht mehr gegeben. Jedoch sei dabei noch erwähnt, dass einige Dialer der 0190 Rufnummer noch eine Call by Call Vorwahl voranstellen (z.B. 01033, 01050 etc.). Hier kann es sein, dass die Telefonanlage dann nicht mehr blockt. Besser also nur benötigte Rufnummern in der Telefonanlage freigeben und den Rest blocken lassen. Sicher ist sicher !

Auch hier gilt wieder:
Nachdem alle Einstellungen vorgenommen worden sind, sollte man das Ganze mal mittels einer Testeinwahl zum Service 0190 überprüfen. Kontrolle ist immer gut.

Im übrigen reicht es, wenn sich der Anwender für eine der beiden Sperrmöglichkeiten entscheidet. Wer das über seine Telefonanlage kann, der sollte das auch ruhig tun.Das spart die Gebühren der Telefongesellschaften und es funktioniert genauso gut.


DFÜ-Verbindung neu einstellen

Sollte das Zugangspasswort für den Onlinezugang abgespeichert worden sein, so ist dieses zu entfernen. Man gewöhnt sich sehr schnell daran, das Zugangspasswort vor dem Aufbau einer Verbindung einzugeben.

Ich selber habe die DFÜ-Verbindung weder mit dem Browser noch Mailprogramm verknüpft. Lediglich habe ich aus dem Ordner "DFÜ-Netzwerk" die jeweilige Verbindung auf den Desktop verknüpft. Ich wähle mich zunächst ein und erst dann nehme ich meine Aktivitäten im WWW auf. Genauso erfolgt auch die Abfrage meiner Mailboxen.
Diese Prozedur hat den Vorteil, indem auf diese Art und Weise hin und wieder auf die Einwahlnummer geschaut wird. Alles geht nicht so schnell und man achtet mehr auf die Dinge, welche da geschehen. Ich selber habe mir das angewöhnt und praktiziere das seit vielen Jahren.

Schutzsoftware gegen ungewünschte 0190 Einwahl
Zwischenzeitlich gibt es auch immer mehr Programme zum Schutz vor unerwünschter Einwahl mittels eines Webdialers. Wir stellen hier lediglich eine kleine Auswahl von Programmen vor, die auch unabhängig der Hardware (ISDN- Modem u.Karten, analoge Modems) arbeiten.

 

 

5. Firewall

Was kann eine Firewall für mich tun ?
Eine Firewall kann Aufschluss darüber geben, welches Programm sich wann und womit verbinden will.
Allerdings sind Desktop Firewalls angreifbar, und überdies nutzlos, wenn das System der Firewall nicht überblickt wird.
Desktop Firewalls bieten keinen 100%igen Schutz, was man sich stets vor Augen halten sollte. Wenn man sich an die wichtigsten Grundregeln zum sicheren Surfen hält, sind Desktop Firewalls sogar überflüssig. Solange man nichts aus unsicheren Quellen herunterläd, sein System optimal konfiguriert, auf sichere Software zurückgreift, und allgemein umsichtig im Internet unterwegs ist, stellt eine Softwarelösung keinen zusätzlichen Schutz dar. Lediglich die Logfunktionen wären dann noch sinnvoll.


Was kann eine Firewall NICHT für mich tun ?
Eine Desktop Firewall benutzen heisst nicht automatisch Schutz. Eine Firewall kann nichts ausrichten, solange der Benutzer keine Ahnung von den zu erstellenden Regeln hat.
Zwar gibt es bei einigen Programmen die Option der automatischen Regelerstellung, welche aber in den meisten Fällen zu grosszügig oder fehlerhaft erfolgt.


Meine Firewall hat Alarm geschlagen, aber ich verstehe die Meldung nicht....
Einige Elemente finden sich in fast allen Alarmmeldungen wieder:


remote host = Adresse des entfernten Rechners
remote port = Entfernter Port, von dem die betreffende Aktion ausgeht
local port = Lokaler Port, für den Zugriff erfragt wird
inbound/outbound = Die Richtung des gewünschten Datentransfers (eingehend/ausgehend)
service = Die Anwendung, die angesprochen wird
protocol = Art des Protokolls (TCP,POP3, UDP, ICMP etc)


Der "remote host" lässt sich via Whois bei ripe.net ermitteln; mit dieser Angabe ist das Rätsel oft schon gelöst.
Und wie immer gilt: Unbekannten Anwendungen niemals Zugriff aufs Internet gestatten !


Meine Firewall fragt, ob ich ICMP zulassen will. Was bedeutet das?
Hierbei muss unterschieden werden, denn es gibt verschiedene ICMP-Typen.
Die wohl häufigsten sind Echo request (Ping) und Echo reply (Antwort auf Ping). Diese beiden Typen können wie auch Destination unreachable und Time exceeded ohne grössere Risiken zugelassen werden.
Genauere Angaben zur Funktion der einzelnen ICMP-Typen sind im Glossar zu finden.


Norton Internet Security blockt häufig Trojaner. Ist mein Rechner infiziert?
Wenn die Meldung nach dem folgenden Muster aufgebaut ist, dann ist davon auszugehen, das es sich um einen Portscan handelte: Standard Trojanername blockieren (Details: Eingehende Verbindung)
Erklärend dazu: NIS benennt die Ports nach den Trojanern, die diese standardmässig nutzen. So ist der Standardport des Trojaners Sub7 beispielsweise 1243. Bei einem Zugriffsversuch auf den Port 1243 meldet NIS nicht Port1243, sondern Sub7. Allerdings ist es ein Leichtes, Trojanern einen anderen Port zuzuweisen.
Daher ist die Meldung von NIS irreführend und unnötig verunsichernd.


Ich werde seit Minuten immer von derselben Adresse auf verschiedenen Ports angegriffen. Was passiert da?

Hierbei handelt es sich in der Regel um einen Portscan.


Meine Firewall meldet, das eine Anwendung ersetzt wurde. Was soll ich tun ?
Wenn vor kurzem ein Update der betreffenden Anwendung oder ein vergleichbarer Eingriff erfolgt ist, ist die Veränderung der Software mit grosser Sicherheit darauf zurückzuführen.
Wenn allerdings nichts in der Art durchgeführt wurde, so ist es möglich, das ein Trojaner o.Ä. die Anwendung ersetzt hat. Hier sollte dem Programm der Zugriff aufs Internet auf jeden Fall verwehrt bleiben, und weitere Nachforschungen angestellt werden. Es ist ratsam, ein aktuelles, gutes Antiviren-/Antitrojanerprogramm zu benutzen, um die Datei zu überprüfen. Weiteren Aufschluss bietet auch unsere Dokumentation "Trojaner-Erkennung".


Schützt mich meine Firewall vor Trojanischen Pferden ?

Eine Firewall kann nicht vor der Installation schützen, allerdings kann sie den Server blocken, sodas keine Verbindung möglich ist.
Manche Trojaner tunneln die Firewall jedoch dadurch, das sie freigegebene Anwendungen ersetzen. Firewalls ohne Prüfsummencheck können diesen Austausch dann nicht erkennen.


Schützt mich meine Firewall vor Dialern ?

In der Regel nicht. Näheres dazu unter der Rubrik 0190-Dialer.


Meine Firewall meldet, dass sich eine mir nicht bekannte Anwendung mit dem Internet verbinden will. Soll ich es zulassen ?
Nein ! Es sollte niemals unbekannten Programmen Zugriff aufs Internet gestattet werden.

Ich habe mit Zonealarm unter XP folgendes Problem...
Zonealarm läuft unter WindowsXP nicht zuverlässig. So werden mitunter die erstellten Regeln nach dem Neustart vergessen, weitere Probleme ergeben sich bei Internet Connection Sharing oder im Zusammenspiel mit AOL. Anscheinend ist ZA unter XP nicht ausgereift, und es gibt keine befriedigenden Lösungen. Daher ist der Rat bis auf weiteres, bei ZA-Problemen unter XP auf eine andere Firewall zu wechseln.


Ich kann Zonealarm nicht sauber deinstallieren, es treten Probleme auf.
Zonelabs haben eine Anleitung zur sauberen Deinstallation von Zonealarm herausgegeben, die in den meisten Fällen hilfreich ist.


Zonealarm: Ein kleines, undefinierbares Symbol blinkt in der Systray, was bedeutet es ?

Dieses kleine Symbol erscheint in der Regel dann, wenn die Popup-Alarmfenster deaktiviert wurden. Hierdurch zeigt Zonealarm an, das sie dabei ist, etwas zu blocken.

Zonealarm: Das Programm ist ja englisch und ich bin dieser Sprache kaum bis gar nicht mächtig. Gibt es eine Anleitung ?
Es gibt ! - Wir bieten ein Deutsche Bedienungsanleitung für ZoneAlarm an. Auch hier werden viele Fragen praktisch von selbst beantwortet.

 

 

-=Quellenangabe:=-

Die Inhalte dieser Seite wurden folgender Seite entnommen:

www.trojaner-info.de