Spione im Netz - Seite 2

Funktionsweise

So funktionieren Trojaner
Trojaner bestehen meistens aus drei Teilen: Dem Server, dem Client sowie einem Konfigurationsprogramm für den Server.

Trojaner-Server
Der Server muss zunächst irgendwie auf einem Zielsystem installiert werden muss. Das ist dann eine schwierige Aufgabe, wenn die Installation unbemerkt durchgeführt werden soll, wie es bei Hackern üblich ist. Sonst ist der Server einfach eine Exe-Datei, die man auf die übliche Art startet. Der Server muss nicht nur irgendwie auf das Zielsystem gelangen zum Beispiel als Mail-Anhang oder sonst wie getarnt, sondern muss dort auch ausgeführt werden und zwar möglichst schon beim Start des Betriebssystems. Dafür gibt es Autostart-Schlüssel in der Registry.

Trojaner-Client
Das zweite Programm ist der Client, der auf dem Rechner des Hackers läuft. Der Client kontaktiert den Server über das Netzwerk, das ein LAN oder das Internet sein kann, und steuert den fernen PC. Für diese Kommunikation wird eine bestimmte Portnummer verwendet, bei BO2k ist es zum Beispiel in der Voreinstellung TCP-Port 31 337. Auf diesen Ports kommen auch die Trojaner-Pings an. Bei nahezu allen Trojanern lässt sich der Port allerdings ändern, so dass darüber keine sichere Identifizierung des Trojaners gelingt.

Server-Tool
Das dritte Tool ist ein Konfigurationsprogramm für den Server. Hier wird die Portnummer, bestimmte Aktionen beim Start des Servers und anderes angegeben. Dieses Tool erzeugt eine neue Server-Exe, die dann auf den Opfer-PC kopiert werden muss.

Back Orifice 2000
Back Orifice 2000 ist ein Open Source-Projekt und einigermassen gut dokumentiert. Auf der Homepage findet sich die (englische) Dokumentation, der Quelltext sowie weitere Informationen. Zudem kursiert eine deutsche Version im Internet. Weiterer Vorteil von BO2k: Es gibt für diesen Trojaner ein Reihe von PlugIns zur Erweiterung der Funktionalität. Diese muss man sich allerdings mühsam über das Internet zusammensuchen.

BO2k bietet einige Funktionen zur PC-Fernsteuerung, allerdings lassen sich manche Funktionen auch missbrauchen und lassen klar erkennen, wozu das Programm eigentlich gedacht ist, wie zum Beispiel das Auslesen der Passwörter aus dem Cache des Internet Explorer.

Entpacken Sie das Archiv in ein temporäres Verzeichnis, und schon kann die Installation beginnen. BO2k installiert sich in der Voreinstellung im Verzeichnis c:<\>Programme\Cult of the Dead Cow.

Artikel kommentieren