Hey Ho,

hab hier schon öfter mal interessiert mitgelesen und hin und wieder auch mal nen Schädling mit den empfohlenen Methoden losgebracht.
Diesmal habe ich mir offenbar einen hartnäckigen Backdoortrojaner eingefangen und komme um ein Systemneuauflegen wohl nicht rum (wird sowieso mal fällig, hat sich über die Jahre(!) viel Müll angesammelt). Aber das ist nicht das eigentliche Thema...

Der aktuelle Befall ist Grund für folgende Frage:
Was kann ein Backdoortrojaner und was kann er nicht?

Hab schon eingie Threads dazu durchgelesen und auch weitergesucht, aber die Fragen wurden nicht geklärt.

Wie verändert ein aktiver Trojaner (also z.B. konkret eine bestehende Remoteverbindung) meinen Rechner? Wie äußert sich das?
Traffic, Ping, netstat, Prozesse?

Sieht man immer irgendwo, dass ein Trojaner arbeitet oder gibt es auch perfekt getarnte?

Kann man infiziert werden ohne eine ausführbare Datei ausgeführt zu haben? Also z.B. über das bewusste durchlassen einer eingehenden Verbindung (wenn jemand eine Datei schickt oder ein Spiel Ports aufmachen will)?

Muss ein Trojaner immer ein Programm mitführen, dass Ports aufmacht oder gar nach Hause telefoniert oder gibt es schon im Betriebssystem (Windows XP) solche Voraussetzungen?

Mich interessiert nämlich nicht nur, dass mein Rechner infiziert / sauber ist, sondern auch das warum und wie.
Habe mich schon an vielen Stellen damit abgefunden, dass man als interessierter Laie nicht alles rund um den Rechner verstehen kann (z.B. bei der Hardware denke ich dass ich an der Obergrenze für durch Laien verständliches Wissen angekommen bin), aber wenn es um Netzwerke, Firewalls und die schädlichen Eingriffe in diesen Gebieten geht, fühle ich mich noch etwas zu "blöd" und denke, dass ich da noch was lernen kann.

Ich glaube ich weiß z.B. über die Funktion eines Trojaners viel zu wenige Details (ja: diese 0-8-15 FAQ und Kurzerklärungen kenne ich zur Genüge, muss schon etwas tiefer gehen ).

Ich freue mich über eure Verweise auf Posts / Websites, die meine Recherche übersehen haben sollte und natürlich auf eure Antworten.

Hallo und

Zitat:

Wie verändert ein aktiver Trojaner (also z.B. konkret eine bestehende Remoteverbindung) meinen Rechner? Wie äußert sich das?
Traffic, Ping, netstat, Prozesse?

ZB bei spamversendener Malware merkst Du, dass Deine Internetleitung dichtgekippt wird. An den Prozessen kann man das erkennen....aber:

Zitat:

Sieht man immer irgendwo, dass ein Trojaner arbeitet oder gibt es auch perfekt getarnte?

Die gibt es! Per Rootkit versteckte Malware taucht in fast keinen Logs mehr auf. Die gängigen Rootkitscanner wie zB GMER, Blacklight oder Rootrepeal können die aufdecken, müssen aber nicht.

Zitat:

Kann man infiziert werden ohne eine ausführbare Datei ausgeführt zu haben? Also z.B. über das bewusste durchlassen einer eingehenden Verbindung (wenn jemand eine Datei schickt oder ein Spiel Ports aufmachen will)?

Ja! Wenn durch eine Sicherheitslücke etwas automatisch ausgeführt wird. Ausgeführt werden muss immer was, nur geht das bei ungepatchter Software eben automatisch. War zB beim Sasser der Fall, Leute die ihre Windows-Kiste nicht gepatcht hatten UND bei denen munter die Windows-Netzwerkdienste offen im Internet erreichbar waren (ist leider auch ne Designschwäche von Windows, seit dem SP2 hat sich aber etwas getan) wurden infiziert.

Ich denke Du solltest mal hier ausgiebig lesen: Kompromittierung unvermeidbar?

Was waren das für Zeiten, als man noch Trojaner von Backdoor-Programmen unterscheiden konnte.

Selbst der Müllhaufen allen Unwissens schafft dies noch ( http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm) )

Ein Trojaner im fachlichen Sinn kann alles und nichts, es kommt immer drauf an, was die Schadroutine ist.

Danke euch erstmal.

@cosinus: Der Link ist recht interessant, wenn auch einfach gehalten. Hab noch einiges gelernt.

@Shadow: Vielleicht war meine Frage unpräzise formuliert (hoffe aber der Text erklärt es dann besser). Mir ging es eher darum zu wissen, was für Voraussetzungen ein Trojaner mindestens braucht um überhaupt zu infizieren, was die Indikatoren für eine Infektion sind und was die Grenzen eines Trojaners sind.

Wobei der Link jetzt gezeigt hat, dass die Voraussetzung quasi garkeine ist. Es genügt offenbar selbst ein Rechner mit Windows XP SP3, der per Mozilla Firefox surft. Auch wenn die physische Breitbandverbindung über einen Router geht...
Irgendwie erschreckend
Ich war immer der Meinung ohne eigenes Zutun kann ich mir garkeine Schädlinge einfangen, also bin ich immer durch eigenes direktes Handeln selbst schuld...

Ich kann nur hoffen, dass die Indikatoren nicht "gar keine" sind, (wie es in cosinus' Beitrag es anklingt), und die Grenzen nicht eben dieselbe physische Verbindung (Rechner aus, Netzwerkkabel raus, oder ähnliches).

Um konkreter zu werden (z.B. bei den Indikatoren): Wenn die Hardware streikt, macht man verschiedene Tests um die Ursache zu finden. Im schlimmsten Fall erstmal jedes Bauteil einzeln checken und bei gefundener Ursache die anderen für "intakt" erklären. Gibt es verschiedene Tests (nicht nur Programme, sondern z.B. auch direkt Anzeigen des Betriebssystems), die man durchführen kann (seien es auch noch so viele und aufwändige) und nach deren durchführen man 100%ig (wie bei der Hardware) sagen kann, dass man zur Zeit keinen arbeitenden Schädling drauf hat?

Zitat:

Kann man infiziert werden ohne eine ausführbare Datei ausgeführt zu haben?

Und es gibt sie immer noch und wird es immer noch geben, die lieben Exploits

Diese verursachen ein Drive by Download, der unbemerkt im Hintergrund (nicht sehentlich) abläuft um deinen PC zu infizieren.

Exploit?: Exploit
Ein Exploit (Sicherheitslücke) ist ein Computerprogramm oder Script, welches spezifische Schwächen oder Fehlfunktionen eines Betriebssystems oder Programms ausnutzt. Eine Form des Exploits sind Angriffe aus dem Internet mit Hilfe von manipulierten Datenpaketen, die Schwachstellen in der Netzwerksoftware ausnutzen. Hier können Programme eingeschleust werden, mit denen ein größerer Zugriff erlangt werden kann.

Quelle: Avira

Für weitergehende Infos kannst Du wenn du möchtest hier schauen: Virenkunde