Trojanisches Pferd
(Computerprogramm)
Als Trojanisches Pferd bezeichnet man in der Computersprache schädigende
Programme, die als nützliche Programme getarnt sind oder zusammenhängend
mit einem nützlichen Programm verbreitet werden, aber tatsächlich
auf dem Computer im Verborgenen unerwünschte Aktionen ausführen
können.
Umgangssprachlich werden Trojanische
Pferde – in Anlehnung an die griechische Mythologie – auch
Trojaner (engl. Trojan) genannt. Falsch ist dieses deshalb, weil die Trojaner
eigentlich die Opfer des Trojanischen Pferdes der Mythologie geworden
sind und nicht dessen Urheber waren. Allerdings ist der Ausdruck „Trojaner“
mittlerweile derart verbreitet, dass er weitgehend akzeptiert ist.
Ein Trojanisches Pferd zählt
zur Familie schädlicher bzw. unerwünschter Programme, der so
genannten Malware, worin auch Computerviren und Rootkits einzuordnen sind.
Die Grenze zwischen Backdoors, Rootkits und Trojanischen Pferden ist fließend,
umgangssprachlich werden diese Begriffe häufig synonym verwendet.
Charakteristika
Trojanische Pferde sind Schad-Programme (Malware), die auf fremde Computer
eingeschleust werden, um unentdeckt Aktionen auszuführen. Häufig
sind diese Trojanischen Pferde als nützliche Programme getarnt –
benutzen beispielsweise den Dateinamen einer nützlichen Datei –
oder sind mit einem tatsächlich nützlichen Programm verbunden.
Der tatsächliche Nutzen der Datei, die ein Trojanisches Pferd enthält,
kann beliebiger Art sein.
Durch Ausführen einer
solchen Datei wird ein Computer oft mit einem schädlichen Dienst
eines Trojanischen Pferdes „infiziert“. Das Trojanische Pferd
kann von diesem Zeitpunkt an beliebige Aktionen auf dem infizierten Computer
durchführen. Häufig enthalten Trojanische Pferde Spionagefunktionen
(z. B. Sniffer oder Routinen, die Tastatureingaben aufzeichnen, sogenannte
Keylogger) und Funktionen, die es ermöglichen, einen Computer, unkontrolliert
vom Anwender, über ein Netzwerk - z. B. das Internet - fernzusteuern
(Backdoors).
Ursprünglich waren Trojanische
Pferde nicht dafür vorgesehen, sich selbst zu verbreiten, sondern
wurden gezielt gegen einzelne „Opfer“ eingesetzt (z. B. in
der Wirtschaftsspionage). Mittlerweile jedoch sind zahlreiche Mischformen
der Malware bekannt, die sich wie Computerwürmer selbst verbreiten
können, aber auch die Züge von Trojanischen Pferden aufweisen.
Diese Entwicklung macht eine klare Unterscheidung schwer.
Tarnung von Trojanischen Pferden
Da Trojanische Pferde auszuführende Programme sind (Executables),
müssen sie bei Microsoft Windows eine dementsprechende Dateiendung,
beispielsweise .exe, .com, .scr, .bat oder .pif haben. Da z.b. das Betriebssystem
Windows dem Benutzer jedoch nach standardmäßiger Konfiguration
keine Dateinamenerweiterungen anzeigt, kann ein Trojanisches Pferd als
Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate
erlauben zusätzlich das Zuordnen von Icons zu einer Datei, sodass
eine schadhafte Datei „Bild.jpg.exe“ dem Benutzer namentlich
nicht nur als „Bild.jpg“ angezeigt würde, sondern auch
noch das Icon eines Bildes haben könnte und somit bei der oben genannten
Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen
Bilddatei zu unterscheiden wäre. Da vielen Benutzern die Möglichkeit
dieser Maskierung nicht geläufig ist werden Trojanische Pferde häufig
unbemerkt ausgeführt.
Schema der Infektion durch ein Trojanisches Pferd
Trojanische Pferde können entweder über Datenträger gezielt
auf einen PC übertragen werden oder im Internet, z. B. in Tauschbörsen,
versteckt in angebotenen Dateien an beliebige Teilnehmer verteilt werden.
Nach dem Programmaufruf installieren sie ihre Schadroutine im Hintergrund
und sorgen dafür, dass sie beim erneuten Start des Computers automatisch
wieder aktiviert werden (Autostart). Oftmals haben die Schadroutinen Dateinamen,
die es schwer machen, sie von Systemdateien zu unterscheiden und befinden
sich in unübersichtlichen Verzeichnissen, wie z. B. im Systemordner
von Windows. Die Schadroutine ist nach der Installation unabhängig
vom ursprünglichen Trojanischen Pferd, das nur als Überträger
dient und kann daher durch das Löschen der Überträgerdatei
nicht entfernt werden. Auf dem infizierten PC können durch die Schadroutine
schließlich alle Funktionen ausgeführt werden, die der Status
des angemeldeten Benutzers zulässt. Da zahlreiche Nutzer aus Bequemlichkeit
oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administratorrechten
arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die
Schadroutine oder durch einen beliebigen Angreifer über das Netzwerk
mittels einer Hintertür (Backdoor), unbegrenzt. Das Trojanische Pferd
kann demnach in der Regel selbstständig oder ferngesteuert alle Aktionen
unentdeckt ausführen, die auch der Benutzer des infizierten Computers
willentlich ausführen könnte.
Im folgenden sind beispielhaft
einige gängige Schadfunktionen aufgelistet, um einen Einblick in
die Möglichkeiten der Manipulationen an infizierten Rechnern zu geben:
Unerwünschte Werbung aus
dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten
umleiten.
Überwachung des Datenverkehrs oder aller Benutzeraktivitäten
mithilfe von Sniffern.
Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern,
Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B.
zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern),
was dem Opfer finanziellen Schaden zufügt.
Schutzmöglichkeiten
Aus den Charakteristika von Trojanischen Pferden ergibt sich direkt, dass
es nur eine Schutzmöglichkeit vor der Infektion durch trojanische
Pferde geben kann: Vermeidung der Benutzung von Programmen aus unbekannten
oder unsicheren Quellen. Als besonders gefährlich einzustufen sind
hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen
am Rande der Legalität.
Wie auch bei Computerviren
schützen Antivirenprogramme in der Regel nur vor bekannten Trojanischen
Pferden.
Personal Firewalls oder andere
Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation
eines Trojanischen Pferdes, können unter Umständen aber nach
einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen
und diese unterbinden.
Als theoretisch sinnvolle Bestrebungen
zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man
die Bestrebungen der Trusted Computing Platform Alliance (TCPA) ansehen,
die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger
Software, technisch unterbindbar machen will, bzw. die Funktionsaufrufe
geprüfter und ungeprüfter Software voneinander isolierbar machen
will. Es bleibt aber zu bedenken, dass auf Grund des Prinzipes trojanischer
Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzten,
man auch auf diese technische Weise nur das bei der Installation von Software
aufgebrachte Vertrauen auf eine andere Instanz verlagert.
|