|
|
|
| |
Trojanisches Pferd (Computerprogramm)
Als Trojanisches Pferd, auch kurz Trojaner (engl. Trojan) genannt,
bezeichnet man ein Programm, welches als nützliche Anwendung getarnt
ist, im Hintergrund aber ohne Wissen des Anwenders eine ganz andere
Funktion erfüllt.
Bezogen auf den assoziativen Ursprung des Begriffs Trojanisches Pferd
der Mythologie, ist die gebräuchliche Kurzform nicht ganz
unproblematisch zu sehen, da die Trojaner eigentlich die Opfer des
Trojanischen Pferdes geworden sind.
Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher
Programme, der so genannten Malware. Es wird umgangssprachlich häufig
mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors,
Rootkits und Ähnliches gebraucht, ist davon aber klar abzugrenzen. |
|
| |
Charakteristika
Trojanische Pferde werden zum Teil gezielt auf fremde Computer
eingeschleust, können aber auch zufällig dorthin gelangen. Sie sind als
nützliche Programme getarnt, indem sie beispielsweise den Dateinamen
einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion
tatsächlich eine nützliche Funktionalität aufweisen. Auf diese Weise
führen sie heimliche Aktionen auf dem Computer aus, meist in der
Absicht, dass dies vom Anwender nicht bemerkt werden soll. Demgegenüber
besteht auch die Möglichkeit, dass ein Entwickler sein Programm zu einem
Trojaner macht, ohne dass er sich dessen bewusst ist. Denn fügt er dem
Programm eine Funktionalität hinzu, die mit dem offensichtlichen Teil
des Programms nichts zu tun hat und dem Anwender nicht benannt wird, so
handelt es sich bei dem Programm definitionsgemäß um einen Trojaner.
Dies gilt selbst dann, wenn dieser Teil des Programms keinen Schaden
verursacht.
Viele Trojaner werden dazu verwendet, um auf dem fremden Computer
heimlich ein Schadprogramm zu installieren, während sie ausgeführt
werden. Diese Schadprogramme laufen dann unabhängig vom Trojaner
versteckt auf dem Computer, was bedeutet, dass sie sich nicht
deaktivieren lassen, indem das Trojanerprogramm beendet oder gar
gelöscht wird. Der tatsächliche Nutzen einer Datei, die ein solcher
Trojaner installiert, kann beliebiger Art sein. So können u.a.
eigenständige Spionageprogramme auf den Rechner gelangen (z.B. Sniffer
oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte Keylogger).
Auch ermöglicht ein solcher Trojaner die heimliche Installation eines
Backdoorprogramms, welches es gestattet, den Computer über ein Netzwerk
(z.B. dem Internet) fernzusteuern, ohne dass der Anwender dies
kontrollieren kann.
Weil trojanische Pferde diese schädlichen Programme häufig installieren,
ergibt es sich oft das Missverständnis, dass die Funktionen der
installierten Programme ein trojanisches Pferd definieren. Das durch den
Trojaner heimlich installierte Schadprogramm gehört jedoch nur selten
zur Familie der Trojaner, denn gemäß der Definition muss es dem Anwender
erst eine andere Funktionalität vortäuschen, um selbst als Trojaner
klassifiziert werden zu können. In den Medien wird dies oft falsch
dargestellt. |
|
| |
Trojanerarten
Zahlreiche Trojaner entstehen durch den Verbund zweier eigenständiger
Programme zu einer einzelnen Programmdatei. Dabei wird das zweite
Programm an eine beliebige ausführbare Wirtdatei geheftet, ohne dass
dies einen Einfluss auf die Funktionalität beider Programme hat. Durch
den Start des ersten Programms wird so das zweite Programm, welches im
ersten Programm versteckt ist, unbemerkt mitgestartet. Mithilfe eines
entsprechenden Tools lässt sich jede beliebige ausführbare Datei zu
einem solchen Trojaner machen, ohne dass der Autor des Trojaners
Programmierkenntnisse besitzen muss.
Trojaner, die heimlich eine Installationsroutine starten, nennt man „Dropper“
(vom englischen to drop „ablegen“ - ein Trojaner der etwas in dem System
ablegt). Die meisten Trojaner sind Dropper. Ihre Aufgabe ist es, eine
Malware auf ein System zu installieren, sodass sie von diesem Zeitpunkt
an ohne Hilfe des Trojaners ausführbar ist. In der Regel kann man davon
ausgehen, dass diese Malware durch einen Autostartmechanismus auch nach
einem Neustart des Rechners automatisch geladen wird.
Demgegenüber gibt es auch Trojaner, welche die geheimen Funktionen in
sich selbst bergen. Ein solcher Trojaner besteht aus einem einzigen
Programm, welches bereits von seinem Entwickler mit geheimen Funktionen
versehen wurde. Wird der Trojaner beendet oder gar gelöscht, so stehen
auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel
für solche Trojaner bilden zahlreiche Plugins. Bei einem Plugin handelt
es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm,
mit dem weitere Funktionen hinzufügt werden. So kann ein als nützliches
Browser-Plugin getarntes trojanisches Pferd auf einem Internetbrowser
laufen, um beispielsweise über den Browser mit dem Internet zu
kommunizieren, wodurch es auf einfache Weise eine Firewall umgeht.
Allgemein ist es auch möglich, dass ein Trojaner sich die externe
Schnittstelle eines Programms zunutze macht. Ähnlich wie ein
plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes
Programm des Anwenders, um einen Teil seiner geheimen Funktionen
durchführen zu können. Oft nutzt er dabei auch die Möglichkeiten des
Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So
kann ein solcher Trojaner mithilfe des Browsers ein verstecktes Fenster
öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z.B.
mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu
schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau
nicht verhindern, wenn die Verbindung zum Internet für den Browser
erlaubt wurde. Der Vorteil dieser Methode gegenüber eines
plugin-Trojaners ist der, dass ein solcher Trojaner von sich aus
jederzeit eine Internetverbindung aufbauen kann (wobei er von vornherein
in der Lage ist, Einfluss auf die Darstellung der Fenster zu nehmen),
während der plugin-Trojaner erst dann aktiv wird, wenn jemand den
Internetbrowser mit dem installierten Plugin gestartet hat. |
|
| |
Zur Verbreitung von Trojanischen Pferden
Trojanische Pferde können entweder über Datenträger auf Computer
gelangen oder im Internet, z.B. in Tauschbörsen, an beliebige Teilnehmer
verteilt werden. Die Verbreitung des Trojaners erfolgt somit oft durch
den Anwender eines Computers selbst. Je nach Bedeutsamkeit des
Scheinprogramms steigt die Wahrscheinlichkeit, dass der Anwender das
Programm an weitere Anwender weitergibt.
Ein alternativer Weg der Verbreitung von Trojanern ist der Versand im
Anhang von E-Mails. Dafür wird meistens ein Computerwurm verwendet, der
den Trojaner transportiert. Der Trojaner selbst wird dadurch, dass er
sich augenscheinlich verbreitet, jedoch nicht zu einem Virus. Vielmehr
kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm,
welcher im Anhang den Trojaner transportiert. |
|
| |
Die Schadroutine
In der Regel wird das Trojanerprogramm auf direktem Weg durch den
Anwender eines Computers gestartet, wodurch es die Zugriffsberechtigung
erhält, alle Funktionen zu nutzen, auf die auch der angemeldete Benutzer
zugreifen darf. Die Schadroutine kann demnach selbstständig oder
ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer
des Computers willentlich ausführen könnte. Gleiches gilt auch für
Schadprogramme aller Art, die häufig durch Trojaner heimlich auf dem
Computer installiert werden. Da zahlreiche Nutzer aus Bequemlichkeit
oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit
Administratorrechten arbeiten, ist das Spektrum an
Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt.
Um einen Einblick über die Manipulationsmöglichkeiten an betroffenen
Rechnern zu geben, sind im Folgenden beispielhaft einige gängige
Schadfunktionen aufgelistet:
* Unerwünschte Werbung aus dem Internet einblenden oder den Anwender
ungewollt auf bestimmte Webseiten umleiten.
* Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe
von Sniffern.
* Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern,
Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
* Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum
Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
* Installation von illegalen Dialer-Programmen (heimliche Einwahl auf
Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
* Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um
sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu
stellen.
Ein Trojaner muss allerdings nicht zwangsläufig über eine Schadroutine
verfügen. Sendet beispielsweise das Programm ohne Wissen des Anwenders
unsensible statistische Daten an den Programmierer, die in keinem
direkten Bezug zu dem Programm stehen, und lässt der offensichtliche
Teil des Programms keinen Rückschluss auf die versteckte Funktionalität
zu, so erfüllt das Programm alle Bedingungen, um auch als Trojaner
klassifiziert zu werden, obgleich es keinen Schaden anrichtet. Dagegen
kann eine geheime Funktion schnell zu einer Schadroutine werden, ohne
dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf
dieses Beispiel wäre das der Fall, wenn das Programm in einem vom
Entwickler nicht vorhergesehenen Umfeld eingesetzt wird. Dort könnte die
heimliche Datenübermittlung beispielsweise zum Aufbau einer
Internetverbindung führen und so ungefragt Kosten verursachen. |
|
| |
Die Tarnung
Unter Unix ersetzen Trojaner oft einen begehrten Befehl wie ls
(Auflisten von Dateien) oder ps (Anzeige der laufenden Prozesse). Zum
einen fallen sie so lediglich bei einem Vergleich ihrer Checksummen auf,
zum anderen erhöht sich dadurch die Wahrscheinlichkeit, dass ein
Administrator den Trojaner startet, wodurch sie die begehrten
Zugriffsrechte erlangen, ohne durch manipulierte Dateirechte
aufzufallen.
Anders als unter Unix wird bei einem Microsoft Windows Betriebssystem
ein ausführbares Programm (Executable) nicht an seinen Dateirechten
erkannt. Vielmehr legt hier die Endung des Dateinamens fest, ob und wie
die Datei ausgeführt wird. Da Trojanische Pferde nur funktionieren
können, indem jemand ihren Code startet, sind auch sie gezwungen, eine
dementsprechende Dateiendung zu verwenden, wie beispielsweise .exe, .com,
.scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif, etc. In
der Standardkonfiguration zeigt das Betriebssystem diese Dateiendungen
im Explorer jedoch nicht an. Dadurch kann ein Trojanisches Pferd als
Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate
erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine
schädigende Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“
angezeigt wird, sondern auch noch das Icon einer Bilddatei erhalten kann
und somit bei der oben genannten Windows-Konfiguration auf den ersten
Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden ist.
Eine weitere beliebte Möglichkeit der Maskierung besteht darin, eine
Dateiendung mit Hilfe zahlreicher Leerzeichen zu kaschieren. So
erscheint eine Datei namens „harmlos.txt <zahlreiche Leerzeichen>
Checked By Norton Antivirus.exe“ dem Anwender auf den ersten Blick wie
eine Textdatei, wobei der restliche Dateiname vom ihm oft nur als
Hinweis interpretiert wird. Abhängig von dem Programm, welches die Datei
anzeigt, kann es auch vorkommen, dass nicht der komplette Dateiname zu
sehen ist, wodurch der Anwender die .exe-Endung der Datei gar nicht erst
zu Gesicht bekommt. Da vielen Benutzern die Möglichkeit der Maskierung
nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt
ausgeführt.
Eine weitere Möglichkeit, ausführbaren Code unter einer „harmlosen“
Dateiendung zu verstecken, bieten Programme, die den Dateityp unabhängig
seiner Endung selbst analysieren und sie entsprechend ihres
tatsächlichen Typs behandeln. Als Beispiel ist es zwar theoretisch nicht
möglich, in einer RTF-Datei ausführbaren Makrocode zu hinterlegen, da
dieses Dateiformat keine Makros unterstützt. Jedoch wird eine Datei
namens „gefährlich.doc“, die man in „harmlos.rtf“ umbenennt, von Office
anhand des Dateiinhalts als .doc-Datei erkannt, woraufhin der darin
hinterlegte Makrocode trotz der Dateiendung „.rtf“ ausgeführt wird.
Trojaner, die auf einen Exploit basieren, bilden hier ebenfalls eine
Ausnahme. Sie nutzen Fehler eines Programms aus, um ihren Code zur
Ausführung zu bringen. Abhängig von dem Programm, auf deren
Schwachstelle der Trojaner basiert, kann er sich in jedem Dateityp
verbergen, also auch in Dateien, die normalerweise nicht ausführbar
sind. So gibt es beispielsweise Trojaner, deren Code in einer
Grafikdatei hinterlegt wurde. Eine Schwachstelle des jeweiligen Browsers
vorausgesetzt ist es auch möglich, eine Internetseite derart zu
präparieren, dass ein bloßer Aufruf der Seite zur Ausführung des
Trojanercodes führt. Auch bei E-Mailprogrammen, die den HTML-Code einer
Nachricht automatisch anzeigen, besteht die Gefahr, dass bösartiger Code
bereits beim Lesen der Nachricht zur Ausführung gelangt. Der
Trojanercode kann jedoch nur dann gestartet werden, wenn die belastete
Datei tatsächlich mit dem Programm geöffnet wird, für den der Trojaner
bestimmt ist.
Oftmals verwenden Trojanische Pferde auch Dateinamen, die es schwer
machen, sie von wichtigen Systemdateien zu unterscheiden. Dazu legen sie
sich meistens in unübersichtliche Verzeichnisse, wie z. B. im
Systemordner von Windows. Werden sie über einen Autostarteintrag der
Registry geladen, nutzen sie gerne auch Verschleierungstechniken wie
diesen Eintrag: „c:\windows\system32\userinit.exe \\localhost\IPC$ -n“.
Bei einer Überprüfung aller Autostarteinträge wird eine mögliche
Recherche im Internet ergeben, das userinit.exe ein regulärer
Bestandteil des Betriebssystems ist. Und die Überprüfung der Datei wird
dem Anwender bestätigen, dass es sich um das Original handelt (sogar mit
möglichem Zertifikat). Auch „\\localhost\IPC$“ ist eine reguläre, vom
System erstellte Standardfeigabe für interne Zwecke. Alles scheint in
Ordnung zu sein, bis auf die Tatsache, dass hier nicht „c:\windows\system32\userinit.exe“
geladen wird, sondern „IPC$ -n.exe“, welche im Verzeichnis „c:\windows\system32\userinit.exe
\localhost\“ liegt (wobei unter den aktuellen Versionen von Windows das
vermeintliche Leerzeichen vor „ \localhost\“ tatsächlich ein
Sonderzeichen sein muss, welches sich mit Alt+255 erzeugen lässt). |
|
| |
Abgrenzung zum Computervirus
Im Unterschied zu einem Computervirus fehlt dem Trojaner die
Eigenschaft, sich automatisch zu verbreiten. Allerdings besteht eine
durch einen Virus infizierte Datei aus zwei Komponenten, dem Wirt, der
z.B. ein beliebiges Programm sein kann, und dem ihm angehängten Virus,
der in der Lage ist, sich an andere Dateien zu heften. Der Wirt selbst
vermehrt sich nicht, nur der darin hinterlegte Virus hängt sich an
andere Dateien, sobald jemand den Wirt aufruft und dadurch auch
unbewusst den Virencode mitstartet. Die Virusdefinition umschließt
lediglich den sich vermehrenden Virencode und seine Schadroutine, nicht
jedoch die infizierte Datei selbst, die den Virus beherbergt.
Dadurch, dass es mit einem Virus infiziert wurde, erhält das
Wirtprogramm eine geheime Komponente, die bei seinem Start nun auch
unbemerkt den Virus in das System lädt. Daher erfüllt der Wirt (nicht
jedoch der Virus) alle Bedingungen, um auch als Trojaner klassifiziert
zu werden. Genau genommen ist somit jede durch einen Virus infizierte
Datei ein Trojaner.
Diese exakte Unterscheidung wird in der Fachwelt jedoch selten
vorgenommen. Ein zu klassifizierendes Programm bezeichnet man dort in
der Regel erst dann als Trojaner, wenn es nicht zufällig durch einen
Virus, sondern gezielt durch seinen Entwickler oder mit Hilfe eines
Tools um eine böswillige Komponente erweitert wurde. Damit wird die
Vorgehensweise jedoch nur zum Teil der Definition gerecht.
[Bearbeiten]
Das Trojanische Pferd als Mittel zur Verbreitung von Viren
Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat,
können Trojaner auch für die Verbreitung von Viren eingesetzt werden. So
könnte ein als Spiel getarntes Trojanerprogramm mithilfe der
Schadroutine sogar artfremde Dateien (z.B. Officedateien) mit einem
Virus infizieren, während das Spiel ausgeführt wird. Auf dem infizierten
System würde der Trojaner nicht mehr benötigt, da sich der Virus nun
automatisch verbreiten kann, sobald eine der infizierten Dateien
geöffnet wird. Der Trojaner hat den Virus also lediglich in das System
geschleust.
Programme mit verknüpfter Trojaner- und Virenfunktionalität
Ebenfalls schwer fällt die Unterscheidung zwischen Trojaner und Virus,
wenn beispielsweise die Schadroutine den Trojaner heimlich kopiert. Auf
diese Weise kann er unbemerkt auf andere Datenträger gelangen. Durch das
automatische Vervielfältigen des eigenen Programmcodes erfüllt der
Trojaner alle Bedingungen, um auch als Virus klassifiziert zu werden.
Ein Trojaner wird allerdings per Definition nicht zu einem Virus, wenn
er sich umkopiert. Ebenso muss die Virusdefinition aufgrund einer
solchen Möglichkeit nicht um mögliche Trojanereigenschaften erweitert
werden. Es hat sich hier lediglich ein Entwickler beider Techniken
bedient. Daher handelt es sich bei einer solchen Datei schlicht um einen
Trojaner und um einen Virus vereint in einem Programm. |
|
| |
Abgrenzung zum Oberbegriff für Backdoors und Rootkits
Die meisten Trojaner sind Dropper, also Programme, die als nützliche
Anwendung getarnt heimlich eine Malware auf dem Computer installieren.
Wurde der Trojaner auch nur ein einziges Mal gestartet, stehen sämtliche
Funktionen, die das heimlich installierte Programm ermöglicht, somit
jederzeit zur Verfügung. Nicht selten handelt es sich bei der
installierten Malware um ein Backdoor-Programm. Allerdings ist es ein
weit verbreiteter Irrtum zu glauben, die installierte Malware sei der
Trojaner und nicht das Programm, welches geholfen hat, die Malware
heimlich zu installieren. Bezogen auf den assoziativen Ursprung des
Begriffs aus der griechischen Mythologie wäre laut dieser These nicht
der zur Tarnung dienende Holzrahmen das Trojanische Pferd, sondern die
darin versteckten Soldaten.
Im Widerspruch zu den Aussagen einiger Fachzeitschriften greift ein
Eindringling somit auf das heimlich installierte (Backdoor-) Programm
zu, und nicht auf den Trojaner. Der Trojaner diente in diesem Fall
lediglich als Hilfsprogramm, um die versteckte Installation durchführen
zu können. Das Hilfsprogramm ist definitionsgemäß ein Trojaner, weil es
sich als nützliche Anwendung ausgibt (z.B. als ein Spiel oder ein
Bildschirmschoner) und dabei unbemerkt ein in sich selbst verstecktes
Programm auf den Computer einschleust und deren Installationsroutine
ausgeführt. Der Trojaner kann nach seinem Start jederzeit beendet und
sogar gelöscht werden, ohne dass das heimlich installierte Programm in
seiner Arbeit beeinträchtigt wird.
Das heimlich installierte Programm wird hingegen nicht automatisch
dadurch zu einem Trojaner, weil es durch einen Trojaner heimlich
installiert wurde. Laut Definition ist ein Trojaner ein Programm,
„welches als nützliche Anwendung getarnt ist, im Hintergrund aber ohne
Wissen des Anwenders eine ganz andere Funktion erfüllt“. Als Beispiel
kann ein Trojaner den Anmeldevorgang des Rechners ersetzen, die
eingegebenen Passworte in eine Datei schreiben und die Daten dann an den
tatsächlichen Anmeldeprozess durchreichen. Er gibt sich gegenüber dem
Anwender also als Anmeldedialog aus, zeichnet im Hintergrund jedoch
heimlich die Passworte mit. Im Unterschied dazu geben die meisten
Backdoorprogramme nicht vor, etwas anderes zu tun, und sind deshalb auch
keine Trojaner. Das gilt auch dann, wenn sich das entsprechende Programm
beispielsweise per Rootkit-Technik im System versteckt.
Tatsächlich verfügen die wenigsten aktuellen Trojaner über eine eigene
Backdoorfunktionalität, was nicht damit zu verwechseln ist, dass sie
oftmals dafür verwendet werden, ein Backdoorprogramm heimlich zu
installieren. Gleiches gilt für die Installation von Rootkits durch
einen Trojaner. Deshalb eignet sich der Begriff „Trojanisches Pferd“
weder als Oberbegriff für Backdoors, noch für Rootkits und ähnlicher
Malware.
[Bearbeiten]
Die Verwendung des Begriffes trojanisches Pferd für artfremde
Programmarten
Nicht selten werden die unterschiedlichsten Hackertools, darunter auch
sämtliche Backdoorprogramme, fälschlicherweise als „Trojaner“
bezeichnet. Der Grund dafür ist zum einen, dass bis Mitte der 1990er
Jahre die Backdoorfunktionalität tatsächlich ein Bestandteil vieler
Trojanerprogramme war, wobei sich ein solcher Trojaner dann selbst im
System installiert hatte. Heute stellt diese Trojanerart allerdings eine
Minderheit dar. Ein weiterer Grund ist in den späten 1980er Jahren zu
finden, in denen fast zwanghaft nach einem Überbegriff für Hackertools
gesucht wurde. Der Begriff Trojaner war zu dieser Zeit gerade populär
und schien aus Sicht der Medien zu passen. Nur wussten die meisten
Journalisten nicht genau, was ein Trojaner ist oder macht. Auch heute
noch werden daraus entstandene Fehlinformationen von vielen Autoren
einfach übernommen. So hatte sich der Begriff „Trojaner“ schnell als
Synonym für Hackertools jeglicher Art etabliert, die auf dem befallenen
Rechner eine Hintertür öffnen oder anderweitigen Schaden anrichten, ohne
eine definitionsgemäß vorgetäuschte Funktionalität vorauszusetzen. Auf
diese Weise wurde auch aus zahlreichen Backdoorprogrammen ein falscher
„Trojaner“, obgleich diese nicht in die Trojanerdefinition passen.
Als Folge der Fehlinformation haben selbst die Betreiber vieler
renommierter Sicherheitsseiten im Internet zwar die richtige
Trojanerdefinition, allerdings auch die falschen Beispiele übernommen.
Einige unter ihnen bemerkten den Konflikt und fingen an, die Definition
eines Trojaners zu ändern. Das hat zur Folge, dass dieser Begriff heute
auf verschiedene Weise definiert wird, wobei die modifizierten
Definitionen gleichsam auf den Passus der vorgetäuschten Funktionalität
verzichten. Oftmals wird darin sämtliche Malware zum Trojaner erklärt.
Programme, die zwar eine andere Funktionalität vortäuschen, jedoch
keinen Schaden anrichten, werden hingegen nicht mehr berücksichtigt.
Würde man dieser Sichtweise folgen, wäre der Begriff „Malware“
überflüssig, wobei der Fachwelt zudem ein wichtiger Begriff verloren
ginge, der sämtliche Programme klassifiziert, die dem Anwender eine
andere Funktionalität vortäuschen. Schlussendlich wurden durch die
modifizierten Definitionen neue Probleme geschaffen, da sie das
Verständnis um diese Materie erheblich erschweren.
Dass sich der Begriff „Malware“ als Überbegriff für bösartige oder
heimtückische Software nun auch in den deutschen Medien verfestigt hat,
ist ein großer Fortschritt. Zumindest wird die zweckentfremdete
Verwendung des Begriffs „Trojaner“ in den Medien dadurch langsam
rückläufig |
|
| |
Die ersten Trojaner
Knapp drei Jahre nachdem Dan Edwards 1972 ein von ihm als „Trojan horse“
betiteltes theoretisches Konzept vorgestellt hatte, um eine besondere
Rechnersicherheitsbedrohung zu charakterisieren, bewahrheitete sich
seine Hypothese. Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde
für die Univac 1108 geschrieben und wird als der erste bekannte Trojaner
bezeichnet. Die Spielregeln sahen vor, dass der Spieler an ein Tier
denken musste, welches das Programm durch gezielte Fragen zu erraten
versuchte. Konnte das Tier noch nicht ermittelt werden, so aktualisierte
das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal
die alte Version des Programms durch die aktualisierte Version
überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich
auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das
komplette System mit Kopien dieses Programms voll geschrieben wurde. Die
Frage, ob es sich hierbei um einen Programmierfehler oder um eine
beabsichtigte Schadensroutine handelte, ist bis heute unbeantwortet
geblieben.
Im Dezember 1989 erschien der erste Trojaner, der seine Opfer erpressen
sollte, wobei er eine weltweite Aufmerksamkeit auf sich zog. Dr. Joseph
W. Popp, ein damals 39 Jahre alter Wissenschaftler aus Cleveland bei
Ohio, verschickte 20.000 belastete Disketten mit der Aufschrift „AIDS
Information Introductory Diskette“ an Adressen in Europa, Afrika, Asien
und der WHO. Sein Trojaner versteckte nach einiger Zeit sämtliche
Verzeichnisse, verschlüsselte die Dateinamen und hinterließ auf dem
Rechner eine Aufforderung, für die Wiederherstellung 378 US-Dollar an
eine fiktive „PC Cyborg Corporation“ auf ein existierendes Postfach in
Panama zu schicken. Obwohl er in England für unzurechnungsfähig erklärt
wurde, hat ihn ein italienisches Gericht in Abwesenheit zu 2 Jahren Haft
verurteilt.
Im August 2000 erschien der erste bekannte Trojaner für PDAs. Der unter
den Namen „Liberty Crack“ getaufte Schädling wurde von Aaron Ardiri, dem
Co-Entwickler des gleichnamigen Palm Game Boy Emulators, entwickelt. Er
tarnt sich als Crack für den Emulator, löscht heimlich die installierte
Software und initialisiert wichtige Einstellungen des Palms. Als der
Trojaner außer Kontrolle geriet, half Adriri die Verbreitung
einzudämmen.
Im Oktober 2005 machte der renommierte Systemspezialist Mark Russinovich
eine verblüffende Entdeckung. Während er eine kurz zuvor gekaufte
Musik-CD von SONY BMG auf seinem Computer abspielte, installierte sich
heimlich ein Rootkit auf seinem System. Dank einer parallel laufenden
Systemanalyse entdeckte er so per Zufall den ersten Trojaner, der über
legal erworbene Musik-CDs den Weg auf den Rechner fand. Der bewusst von
SONY BMG in Umlauf gebrachte „XCP“-Trojaner war Teil einer sehr
aggressiven Kopierschutzkampagne. Die heimlich installierte Malware
sammelt Informationen über den Benutzer und schickt diese über das
Internet an den Konzern. Zudem schafft sie neue Sicherheitslöscher und
bremst dank einer Designschwäche das System auch dann aus, wenn keine CD
abgespielt wird. Bereits zwei Wochen nach dieser Entdeckung erschien „Ryknos“,
der erste Trojaner, der sich der Sicherheitslücken von „XCP“ bediente
und ein Backdoor-Programm auf den befallenen Rechnern installierte. |
|
| |
Schutzmöglichkeiten
Den einzig wirkungsvollen Schutz vor trojanischen Pferden bietet der
Verzicht auf die Benutzung von Programmen aus unbekannten oder
unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei,
wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am
Rande der Legalität.
Viele Antivirenprogramme erkennen neben Computerviren auch weitere
Malware, darunter eine Vielzahl bekannter trojanischer Pferde. Ihre
Erkennungsrate erhebt jedoch keinen Anspruch auf Vollständigkeit. Wird
ein Trojaner erkannt, bevor der Anwender ihn startet, ist der
Schutzmechanismus recht wirkungsvoll, wohingegen bereits ausgeführte
Trojaner von der Antivirensoftware nur bedingt zuverlässig aus dem
System entfernt werden können. Gleiches gilt für die Schadsoftware,
welche eventuell durch einen Trojaner installiert wurde. Auch gelingt es
zahlreichen Trojanern, die Antivirensoftware zu deaktivieren oder das
System derart zu manipulieren, dass sie von der Software nicht mehr
entdeckt werden.
Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten
keinen Schutz vor der Installation eines Trojanischen Pferdes, können
unter Umständen aber nach einer Infektion auf unautorisierte
Netzwerkkommunikation aufmerksam machen und diese im günstigsten Fall
unterbinden. Einige Personals Firewalls bieten als zusätzlichen Schutz
auch eine Überwachung der Autostarteinträge des Systems, was dem
Anwender einen Hinweis auf eine Trojanerinstallation liefert, wenngleich
auch die Firewallsoftware von zahlreichen Trojanern deaktiviert und
nicht selten überlistet werden kann.
Als neuen Weg zum Schutz gegen Trojanische Pferde und Computerviren
allgemein kann man die Bestrebungen der Trusted Computing Platform
Alliance (TCPA) ansehen, die das Ausführen von ungeprüfter, d. h. nicht
vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die
Funktionsaufrufe geprüfter und ungeprüfter Software voneinander zu
isolieren versucht. Es bleibt aber zu bedenken, dass auf Grund des
Prinzips Trojanischer Pferde, das menschliche Vertrauen oder die
Unerfahrenheit auszunutzen, man auch auf diese technische Weise nur das
bei der Installation von Software aufgebrachte Vertrauen auf eine andere
Instanz verlagert. |
|
|
|
