Trojanisches Pferd (Computerprogramm)

aus HaBo WiKi, der freien Wissensdatenbank von http://www.hackerboard.de
Wechseln zu: Navigation, Suche

Als Trojanisches Pferd, auch kurz Trojaner (engl. Trojan) genannt, bezeichnet man ein Programm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.

Bezogen auf den assoziativen Ursprung des Begriffs Trojanisches Pferd der Mythologie, ist die gebräuchliche Kurzform nicht ganz unproblematisch zu sehen, da die Trojaner eigentlich die Opfer des Trojanischen Pferdes der Griechen geworden sind.

Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen.

Ein Grossteil des Artikels wurde im Januar 2006 in die Wikipedia gestellt. Aus Kompatibilitätsgründen steht der Artikel nun unter der GNU-Lizenz für freie Dokumentation (GFDL), was bedeutet, dass der Text beliebig kopiert, angepasst und publiziert werden darf, solange unsere Seite als Quelle angegeben wird, wobei der angepasste Text laut Lizenz ebenfalls unter die GFDL zu stellen ist. Uns wäre es lieber gewesen, den Artikel unter einer anderen Lizenz zu veröffentlichen, die dem Benutzer weniger Restriktionen auferlegt, jedoch versetzt uns die Festlegung auf die GFDL in die Lage, jegliche Anpassungen zwischen den Wikis austauschen zu können.


Charakteristik

Trojanische Pferde werden zum Teil gezielt auf fremde Computer eingeschleust, können aber auch zufällig dorthin gelangen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen. Auf diese Weise führen sie heimliche Aktionen auf dem Computer aus, meist in der Absicht, dass dies vom Anwender nicht bemerkt werden soll. Demgegenüber besteht auch die Möglichkeit, dass ein Programmierer unbewusst ein Trojanisches Pferd entwickelt, indem er dem Programm eine Funktionalität hinzufügt, die mit dem offensichtlichen Teil des Programms nichts zu tun hat. Wird die Funktion dem Anwender nicht benannt, so handelt es sich definitionsgemäß um ein Trojanisches Pferd. Dies gilt selbst dann, wenn dieser Teil des Programms keinen Schaden verursacht.

Viele Trojanische Pferde werden dazu verwendet, um auf dem Computer heimlich ein Schadprogramm zu installieren, während sie ausgeführt werden. Diese Schadprogramme laufen dann eigenständig auf dem Computer, was bedeutet, dass sie sich nicht deaktivieren lassen, indem das Trojanerprogramm beendet oder gar gelöscht wird. Die tatsächliche Funktion der installierten Datei kann beliebiger Art sein. So können u.a. eigenständige Spionageprogramme auf den Rechner gelangen (z.B. Sniffer oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte Keylogger). Auch die heimliche Installation eines Backdoorprogramms ist möglich, welches es gestattet, den Computer über ein Netzwerk (z.B. dem Internet) fernzusteuern, ohne dass der Anwender dies kontrollieren kann.

Weil Trojanische Pferde diese schädlichen Programme häufig installieren, ergibt sich oft das Missverständnis, dass die Funktionen der installierten Programme ein Trojanisches Pferd definieren. Das durch das Trojanische Pferd heimlich installierte Schadprogramm gehört jedoch nur selten zur Familie der Trojanischen Pferde, denn gemäß der Definition muss es dem Anwender erst eine andere Funktionalität vortäuschen, um selbst als Trojanisches Pferd klassifiziert werden zu können.

Arten Trojanischer Pferde

Zahlreiche Trojanische Pferde entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei heftet ein Linker (auch Binder oder Joiner genannt) das zweite Programm an eine beliebige ausführbare Wirtdatei, ohne dass dies einen Einfluss auf die Funktionalität beider Programme hat. Durch den Start des ersten Programms wird so das zweite Programm, welches im ersten Programm versteckt ist, unbemerkt mitgestartet. Der Autor des Trojanischen Pferdes kann mithilfe eines entsprechenden Dienstprogrammes jede beliebige ausführbare Datei als Wirtprogramm missbrauchen, ohne Programmierkenntnisse besitzen zu müssen.

Es gibt Trojanische Pferde, die heimlich eine Installationsroutine starten. Diese Trojanerart wird häufig dafür eingesetzt, um unbemerkt eine Malware auf ein System zu installieren, sobald das Trojanische Pferd ausgeführt wird. Daher nennt man sie „Dropper“ (vom englischen to drop – etwas im System „ablegen“). Ein Autostartmechanismus sorgt in der Regel dafür, dass die Malware auch nach einem Neustart des Rechners automatisch geladen wird. Für den Start der Malware ist das Trojanische Pferd auf diesem System nicht mehr erforderlich.

Demgegenüber gibt es auch Trojanische Pferde, welche die geheimen Funktionen in sich selbst bergen. Wird das Trojanische Pferd beendet oder gar gelöscht, so stehen auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel dafür bilden zahlreiche Plugins. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzufügt werden. So kann ein als nützliches Browser-Plugin getarntes Trojanisches Pferd auf einem Internetbrowser laufen, um beispielsweise über den Browser mit dem Internet zu kommunizieren, wodurch es auf einfache Weise eine Firewall umgeht.

Allgemein ist es auch möglich, dass ein Trojanisches Pferd sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein Plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders, um einen Teil seiner geheimen Funktionen durchführen zu können. Oft nutzt er dabei auch die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solches Trojanisches Pferd mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z.B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau oft nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde. Der Vorteil dieser Methode gegenüber eines Plugin-Trojaners ist der, dass ein solches Trojanisches Pferd von sich aus jederzeit eine Internetverbindung aufbauen kann (wobei es von vornherein in der Lage ist, Einfluss auf die Darstellung der Fenster zu nehmen), während der Plugin-Trojaner erst dann aktiv wird, wenn jemand den Internetbrowser mit dem installierten Plugin gestartet hat.

Zur Verbreitung von Trojanischen Pferden

Trojanische Pferde können entweder über Datenträger auf Computer gelangen oder im Internet, z.B. in Tauschbörsen, an beliebige Teilnehmer verteilt werden. Die Verbreitung des Trojanischen Pferdes erfolgt somit oft durch den Anwender eines Computers selbst. Je nach Bedeutsamkeit des Scheinprogramms steigt die Wahrscheinlichkeit, dass der Anwender das Programm an weitere Anwender weitergibt.

Ein alternativer Weg der Verbreitung von Trojanischen Pferden ist der Versand im Anhang von E-Mails. Dafür wird meistens ein Computerwurm verwendet, der das Trojanische Pferd transportiert. Der Trojaner selbst wird dadurch, dass er sich augenscheinlich verbreitet, jedoch nicht zu einem Virus. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm, welcher im Anhang das Trojanische Pferd transportiert.

Die Schadroutine

In der Regel wird das Trojanerprogramm auf direktem Weg durch den Anwender eines Computers gestartet, wodurch es die Zugriffsberechtigung erhält, alle Funktionen zu nutzen, auf die auch der angemeldete Benutzer zugreifen darf. Die Schadroutine kann demnach selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des Computers willentlich ausführen könnte (gleiches gilt für Schadprogramme aller Art, die ein Trojanisches Pferd heimlich auf dem Computer installiert). Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administrationsrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt.

Um einen Einblick über die Manipulationsmöglichkeiten an betroffenen Rechnern zu geben, sind im Folgenden beispielhaft einige gängige Schadfunktionen aufgelistet:

  • Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern.
  • Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
  • Fernsteuerung des Rechners von Unbekannten, u. a. für kriminelle Zwecke, z.B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
  • Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
  • Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen.
  • Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten umleiten.

Ein Trojanisches Pferd muss allerdings nicht zwangsläufig über eine Schadroutine verfügen. Sendet beispielsweise das Programm ohne Wissen des Anwenders unsensible statistische Daten an den Programmierer, die in keinem direkten Bezug zu dem Programm stehen, und lässt der offensichtliche Teil des Programms keinen Rückschluss auf die versteckte Funktionalität zu, so erfüllt das Programm alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden, obgleich es keinen Schaden anrichtet. Dagegen kann eine geheime Funktion schnell zu einer Schadroutine werden, ohne dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf dieses Beispiel wäre das der Fall, wenn das Programm in einem vom Entwickler nicht vorhergesehenen Umfeld eingesetzt wird. Dort könnte die heimliche Datenübermittlung beispielsweise zum Aufbau einer Internetverbindung führen und so ungefragt Kosten verursachen.

Die Tarnung

Unter Unix werden begehrte Befehle wie ls (Auflisten von Dateien) oder ps (Anzeige der laufenden Prozesse) gerne durch Trojanische Pferde ersetzt. Zum einen fallen sie so lediglich bei einem Vergleich ihrer Checksummen auf, zum anderen erhöht sich dadurch die Wahrscheinlichkeit, dass ein Administrator das Trojanische Pferd startet, wodurch sie die begehrten Zugriffsrechte erlangen, ohne durch manipulierte Dateirechte aufzufallen.

Anders als unter Unix wird bei einem Microsoft-Windows-Betriebssystem ein ausführbares Programm (Executable) nicht an seinen Dateirechten erkannt. Vielmehr legt hier die Endung des Dateinamens fest, ob und wie die Datei ausgeführt wird. Da Trojanische Pferde nur funktionieren können, indem jemand ihren Code startet, sind auch sie gezwungen, eine dementsprechende Dateiendung zu verwenden, wie beispielsweise .exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif. In der Standardkonfiguration zeigt das Betriebssystem diese Dateiendungen im Explorer jedoch nicht an. Dadurch kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schädigende Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt wird, sondern auch noch das Icon einer Bilddatei erhalten kann und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden ist.

Eine weitere beliebte Möglichkeit der Maskierung besteht darin, eine Dateiendung mit Hilfe zahlreicher Leerzeichen zu kaschieren. So erscheint eine Datei namens „harmlos.txt<zahlreiche Leerzeichen>Checked By Norton Antivirus.exe“ dem Anwender auf den ersten Blick wie eine Textdatei, wobei der restliche Dateiname vom ihm oft nur als Hinweis interpretiert wird. Abhängig von dem Programm, welches die Datei anzeigt, kann es auch vorkommen, dass nicht der komplette Dateiname zu sehen ist, wodurch der Anwender die .exe-Endung der Datei gar nicht erst zu Gesicht bekommt. Da vielen Benutzern die Möglichkeit der Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.

Eine weitere Möglichkeit, ausführbaren Code unter einer „harmlosen“ Dateiendung zu verstecken, bieten Programme, die den Dateityp unabhängig seiner Endung selbst analysieren und sie entsprechend ihres tatsächlichen Typs behandeln. Als Beispiel ist es zwar theoretisch nicht möglich, in einer RTF-Datei ausführbaren Makrocode zu hinterlegen, da dieses Dateiformat keine Makros unterstützt. Jedoch wird eine Datei namens „gefährlich.doc“, die man in „harmlos.rtf“ umbenennt, von Office anhand des Dateiinhalts als .doc-Datei erkannt, woraufhin der darin hinterlegte Makrocode trotz der Dateiendung „.rtf“ ausgeführt wird.

Trojanische Pferde, die auf einen Exploit basieren, bilden hier ebenfalls eine Ausnahme. Sie nutzen Fehler eines Programms aus, um ihren Code zur Ausführung zu bringen. Abhängig von dem Programm, auf dessen Schwachstelle das Trojanische Pferd basiert, kann es sich in jedem Dateityp verbergen, also auch in Dateien, die normalerweise nicht ausführbar sind. So gibt es beispielsweise Trojanische Pferde, deren Code in einer Grafikdatei hinterlegt wurde. Eine Schwachstelle des jeweiligen Browsers vorausgesetzt ist es auch möglich, eine Internetseite derart zu präparieren, dass ein bloßer Aufruf der Seite zur Ausführung des Trojanercodes führt. Auch bei E-Mailprogrammen, die den HTML-Code einer Nachricht automatisch anzeigen, besteht die Gefahr, dass bösartiger Code bereits beim Lesen der Nachricht zur Ausführung gelangt. Der Trojanercode kann jedoch nur dann gestartet werden, wenn die belastete Datei tatsächlich mit dem Programm geöffnet wird, für das das Trojanische Pferd bestimmt ist.

Oftmals verwenden Trojanische Pferde auch Dateinamen, die es schwer machen, sie von wichtigen Systemdateien zu unterscheiden. Dazu legen sie sich meistens in unübersichtliche Verzeichnisse, wie z.B. im Systemordner von Windows. Werden sie über einen Autostarteintrag der Registry geladen, nutzen sie gerne auch Verschleierungstechniken wie diesen Eintrag: „c:\windows\system32\userinit.exe \\localhost\IPC$ -n“. Bei einer Überprüfung aller Autostarteinträge wird eine mögliche Recherche im Internet ergeben, das userinit.exe ein regulärer Bestandteil des Betriebssystems ist. Und die Überprüfung der Datei wird dem Anwender bestätigen, dass es sich um das Original handelt (sogar mit möglichem Zertifikat). Auch „\\localhost\IPC$“ ist eine reguläre, vom System erstellte Standardfreigabe für interne Zwecke. Alles scheint in Ordnung zu sein, bis auf die Tatsache, dass hier nicht „c:\windows\system32\userinit.exe“ geladen wird, sondern „IPC$ -n.exe“, welche im Verzeichnis „c:\windows\system32\userinit.exe \localhost\“ liegt (wobei unter den aktuellen Versionen von Windows das vermeintliche Leerzeichen vor „ \localhost\“ tatsächlich ein Sonderzeichen sein muss, welches sich mit Alt+255 erzeugen lässt).

Abgrenzung zum Computervirus

Im Unterschied zu einem Computervirus fehlt dem Trojanischen Pferd die Eigenschaft, sich automatisch zu verbreiten. Allerdings besteht eine durch einen Virus infizierte Datei aus zwei Komponenten, dem Wirt, der z.B. ein beliebiges Programm sein kann, und dem daran angehängten Virus, der in der Lage ist, sich an andere Dateien zu heften. Der Wirt selbst vermehrt sich nicht, nur der darin hinterlegte Virus hängt sich an andere Dateien, sobald jemand den Wirt aufruft und dadurch auch unbewusst den Virencode mitstartet. Die Virusdefinition umschließt lediglich den sich vermehrenden Virencode und seine Schadroutine, nicht jedoch die infizierte Datei selbst, die den Virus beherbergt.

Dadurch, dass es mit einem Virus infiziert wurde, erhält das Wirtprogramm eine geheime Komponente, die bei seinem Start nun auch unbemerkt den Virus in das System lädt. Daher erfüllt der Wirt (nicht jedoch der Virus) alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden. Genau genommen ist somit jede durch einen Virus infizierte Datei ein Trojanisches Pferd.

Diese exakte Unterscheidung wird in der Fachwelt jedoch selten vorgenommen. Ein zu klassifizierendes Programm bezeichnet man dort in der Regel erst dann als Trojanisches Pferd, wenn es nicht zufällig durch einen Virus, sondern gezielt durch seinen Entwickler oder mit Hilfe eines Tools um eine böswillige Komponente erweitert wurde. Damit wird die Vorgehensweise jedoch nur zum Teil der Definition gerecht.

Das Trojanische Pferd als Mittel zur Verbreitung von Viren

Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat, können Trojanische Pferde auch für die Verbreitung von Viren eingesetzt werden. So könnte ein als Spiel getarntes Trojanerprogramm mithilfe der Schadroutine z.B. Makroviren an Officedateien hängen, während das Spiel ausgeführt wird. Auf dem infizierten System würde das Trojanische Pferd nicht mehr benötigt, da sich der Virus nun automatisch verbreiten kann, sobald eine der infizierten Dateien geöffnet wird. Das Trojanische Pferd hat den Virus lediglich in das System geschleust.

Programme mit verknüpfter Trojaner- und Virenfunktionalität

Ebenfalls schwer fällt die Unterscheidung zwischen Trojanischem Pferd und Virus, wenn beispielsweise die Schadroutine das Trojanische Pferd heimlich kopiert. Auf diese Weise kann es unbemerkt auf andere Datenträger gelangen. Durch das automatische Vervielfältigen des eigenen Programmcodes erfüllt das Trojanische Pferd alle Bedingungen, um auch als Virus klassifiziert zu werden. Ein Trojanisches Pferd wird allerdings per Definition nicht zu einem Virus, wenn es sich kopiert. Ebenso muss die Virusdefinition aufgrund einer solchen Möglichkeit nicht um mögliche Trojanereigenschaften erweitert werden. Es hat sich hier lediglich ein Entwickler beider Techniken bedient. Daher handelt es sich bei einer solchen Datei schlicht um ein Trojanisches Pferd und um einen Virus vereint in einem Programm.

Abgrenzung zum Oberbegriff für Backdoors und Rootkits

Einem populären Irrtum zufolge, wird häufig die durch ein Trojanisches Pferd installierte Malware als „Trojanisches Pferd“ bezeichnet. Bezogen auf den assoziativen Ursprung des Begriffs aus der griechischen Mythologie wäre laut dieser These nicht der zur Tarnung dienende Holzrahmen das Trojanische Pferd, sondern die darin versteckten Soldaten.

Als Beispiel könnte ein Trojanisches Pferd heimlich ein Backdoor-Programm installieren. Ein Eindringling greift nun auf das installierte Programm zu, und nicht auf das Trojanische Pferd. Es diente in diesem Fall lediglich als Hilfsprogramm, welches dazu gedacht war, die Malware heimlich zu installieren. Das Hilfsprogramm ist definitionsgemäß ein Trojanisches Pferd, weil es sich als nützliche Anwendung ausgibt (z.B. als ein Spiel oder ein Bildschirmschoner) und dabei unbemerkt ein in sich selbst verstecktes Programm auf den Computer einschleust und deren Installationsroutine ausgeführt. Das Trojanische Pferd kann nach seinem Start jederzeit beendet und sogar gelöscht werden, ohne dass das heimlich installierte Programm in seiner Arbeit beeinträchtigt wird.

Auch das heimlich installierte Programm könnte unter bestimmten Voraussetzungen durchaus als Trojanisches Pferd klassifiziert werden. Als Beispiel kann es den Anmeldevorgang des Rechners ersetzen, die eingegebenen Passwörter in eine Datei schreiben und die Daten dann an den tatsächlichen Anmeldeprozess durchreichen. Es gibt sich gegenüber dem Anwender also als Anmeldedialog aus, zeichnet im Hintergrund jedoch heimlich die Passwörter mit. Im Unterschied dazu geben die meisten Backdoorprogramme nicht vor, etwas anderes zu tun, und sind deshalb auch keine Trojanischen Pferde. Das gilt auch dann, wenn sich das entsprechende Programm beispielsweise per Rootkit-Technik im System versteckt.

Tatsächlich verfügen die wenigsten aktuellen Trojanischen Pferde über eine eigene Backdoorfunktionalität, was nicht damit zu verwechseln ist, dass sie oftmals dafür verwendet werden, ein Backdoorprogramm heimlich zu installieren. Gleiches gilt für die Installation von Rootkits durch ein Trojanisches Pferd. Deshalb eignet sich der Begriff „Trojanisches Pferd“ weder als Oberbegriff für Backdoors, noch für Rootkits und ähnlicher Malware.

Die Verwendung des Begriffes „Trojanisches Pferd“ für artfremde Programmarten

Bis Mitte der 1990er Jahre war die Backdoorfunktionalität ein fester Bestandteil vieler Trojanerprogramme. Da sie sich meist selbst im System installierten, vereinte diese Trojanerart Installation und Backdoorfunktionalität in einem einzigen Programm. Vermutlich ergab sich daraus das Missverständnis, dass die Backdoorfunktion ein Trojanisches Pferd definiert. Diese Trojanerart stellt heute jedoch eine Minderheit dar.

Ein weiterer Grund dafür könnte in den späten 1980er Jahren zu finden sein, in denen nach einem Überbegriff für Hackertools gesucht wurde. Den Begriff „Malware“ (Schadprogramme) gab es damals noch nicht. Dafür war der Begriff „Trojaner“ zu dieser Zeit gerade populär und schien aus Sicht der Medien zu passen. So hatte sich das Trojanische Pferd schnell als Synonym für bösartige Hackertools jeglicher Art etabliert, die auf dem befallenen Rechner eine Hintertür öffnen oder anderweitigen Schaden anrichten, ohne eine definitionsgemäß vorgetäuschte Funktionalität zwingend vorauszusetzen.

Als Folge der Fehlinformation haben selbst die Betreiber vieler renommierter Sicherheitsseiten im Internet zwar die richtige Trojanerdefinition, allerdings auch die falschen Beispiele aus den Medien übernommen. Einige unter ihnen bemerkten den Konflikt und fingen an, die Definition zu ändern. Das hat zur Folge, dass ein Trojanisches Pferd heute auf verschiedene Weise definiert wird, wobei die modifizierten Definitionen gleichsam auf den Passus der vorgetäuschten Funktionalität verzichten. Als Synonym für Programme, die alternativ zum Öffnen einer Hintertür auf dem befallenen Rechner einen anderweitigen Schaden anrichten, wird das Trojanische Pferd zu einem Überbegriff für Viren, Spyware, illegale „0190-Dialer“ und sämtlicher anderer Schadprogramme. Würde man dieser Sichtweise folgen, wäre der Begriff „Malware“ überflüssig, wobei der Fachwelt zudem ein wichtiger Begriff verloren ginge, der sämtliche Programme klassifiziert, die dem Anwender eine andere Funktionalität vortäuschen.

Seit sich die Verwendung des Begriffs „Malware“ als Überbegriff für bösartige oder heimtückische Software auch in den deutschen Medien verfestigt hat, wird die zweckentfremdete Verwendung des Begriffs „Trojaner“ langsam rückläufig.

Die ersten Trojanischen Pferde

Knapp drei Jahre nachdem Dan Edwards 1972 ein von ihm als „Trojan horse“ betiteltes theoretisches Konzept vorgestellt hatte, um eine besondere Rechnersicherheitsbedrohung zu charakterisieren, bewahrheitete sich seine Hypothese. Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde für die Univac 1108 geschrieben und wird als das erste bekannte Trojanische Pferd bezeichnet. Die Spielregeln sahen vor, dass der Spieler an ein Tier denken musste, welches das Programm durch gezielte Fragen zu erraten versuchte. Konnte das Tier noch nicht ermittelt werden, so aktualisierte das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal die alte Version des Programms durch die aktualisierte Version überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das komplette System mit Kopien dieses Programms voll geschrieben wurde. Die Frage, ob es sich hierbei um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelte, ist bis heute unbeantwortet geblieben.

Im Dezember 1989 erschien das erste Trojanische Pferd, das seine Opfer erpressen sollte, wobei es eine weltweite Aufmerksamkeit auf sich zog. Dr. Joseph W. Popp, ein damals 39 Jahre alter Wissenschaftler aus Cleveland bei Ohio, verschickte 20.000 belastete Disketten mit der Aufschrift „AIDS Information Introductory Diskette“ an Adressen in Europa, Afrika, Asien und der WHO. Sein Trojaner versteckte nach einiger Zeit sämtliche Verzeichnisse, verschlüsselte die Dateinamen und hinterließ auf dem Rechner eine Aufforderung, für die Wiederherstellung 378 US-Dollar an eine fiktive „PC Cyborg Corporation“ auf ein existierendes Postfach in Panama zu schicken. Obwohl er in England für unzurechnungsfähig erklärt wurde, hat ihn ein italienisches Gericht in Abwesenheit zu zwei Jahren Haft verurteilt.

Im August 2000 erschien das erste bekannte Trojanische Pferd für PDAs. Der unter den Namen „Liberty Crack“ getaufte Schädling wurde von Aaron Ardiri, dem Co-Entwickler des gleichnamigen Palm Game Boy Emulators, entwickelt. Er tarnt sich als Crack für den Emulator, löscht heimlich die installierte Software und initialisiert wichtige Einstellungen des Palms. Als das Trojanische Pferd außer Kontrolle geriet, half Adriri die Verbreitung einzudämmen.

Im Oktober 2005 machte der renommierte Systemspezialist Mark Russinovich eine verblüffende Entdeckung. Während er eine kurz zuvor gekaufte Musik-CD von SONY BMG auf seinem Computer abspielte, installierte sich heimlich ein Rootkit auf seinem System. Dank einer parallel laufenden Systemanalyse entdeckte er so per Zufall das erste Trojanische Pferd, das über legal erworbene Musik-CDs den Weg auf den Rechner fand. Der bewusst von SONY BMG in Umlauf gebrachte „XCP“-Trojaner war Teil einer sehr aggressiven Kopierschutzkampagne. Die heimlich installierte Malware sammelt Informationen über den Benutzer und schickt diese über das Internet an den Konzern. Zudem schafft sie neue Sicherheitslöcher und bremst dank einer Designschwäche das System auch dann aus, wenn keine CD abgespielt wird. Bereits zwei Wochen nach dieser Entdeckung erschien „Ryknos“, das erste Trojanische Pferd, das sich der Sicherheitslücken von „XCP“ bediente und ein Backdoor-Programm auf den befallenen Rechnern installierte.

Schutzmöglichkeiten

Den einzig wirkungsvollen Schutz vor Trojanischen Pferden bietet der Verzicht auf die Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.

Viele Antivirenprogramme erkennen neben Computerviren auch weitere Malware, darunter eine Vielzahl bekannter Trojanischer Pferde. Ihre Erkennungsrate erhebt jedoch keinen Anspruch auf Vollständigkeit. Wird ein Trojanisches Pferd erkannt, bevor der Anwender es startet, ist der Schutzmechanismus recht wirkungsvoll, wohingegen bereits ausgeführte Trojanische Pferde von der Antivirensoftware nur bedingt zuverlässig aus dem System entfernt werden können. Gleiches gilt für die Schadsoftware, welche eventuell durch ein Trojanisches Pferd installiert wurde. Auch gelingt es zahlreichen Trojanischen Pferden, die Antivirensoftware zu deaktivieren oder das System derart zu manipulieren, dass sie von der Software nicht mehr entdeckt werden.

Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen. Einige Personals Firewalls bieten als zusätzlichen Schutz auch eine Überwachung der Autostarteinträge des Systems, was dem Anwender einen Hinweis auf eine Trojanerinstallation liefert, wenngleich auch die Firewallsoftware von zahlreichen Trojanischen Pferden deaktiviert und nicht selten überlistet werden kann.

Als neuen Weg zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Platform Alliance (TCPA) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander zu isolieren versucht. Es bleibt aber zu bedenken, dass auf Grund des Prinzips Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzen, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert. Auch scheint die Verhältnismäßigkeit zwischen Sicherheitsgewinn und Verlust einer freien Rechnernutzung hier nicht gegeben zu sein, weshalb eine flächendeckende Nutzung von TCPA einen großen Rückschritt für die heutige Computerkultur darstellen würde.

Wird ein bereits installiertes Trojanisches Pferd erkannt, so ist es ratsam, die Bereinigung des Systems über die Einspielung des letzten „sauberen“ Abbildes der Festplatte vorzunehmen, da ein Softwareprodukt (wie z.B. ein Virenscanner) diese Aufgabe nur bedingt zuverlässig erledigen kann.

Weblinks