„Trojanisches Pferd (Computerprogramm)“ – Versionsunterschied
| [ungesichtete Version] | [ungesichtete Version] |
Revert to revision 37398523 dated 2007-10-02 22:49:04 by Gereon K. using popups |
|||
| Zeile 3: | Zeile 3: | ||
Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten [[Malware]]. Es wird umgangssprachlich häufig mit [[Computervirus|Computerviren]] synonym verwendet, sowie als Oberbegriff für [[Backdoor]]s und [[Rootkit]]s gebraucht, ist davon aber klar abzugrenzen. |
Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten [[Malware]]. Es wird umgangssprachlich häufig mit [[Computervirus|Computerviren]] synonym verwendet, sowie als Oberbegriff für [[Backdoor]]s und [[Rootkit]]s gebraucht, ist davon aber klar abzugrenzen. |
||
== Etymologie == |
|||
Der Name ist vom [[Trojanisches Pferd (Mythologie)|Trojanischen Pferd der Mythologie]] abgeleitet, das dem Angreifer den Zugang zu einem geschützten System verschaffte, indem es als etwas Nützliches getarnt den Angegriffenen dazu veranlasste, es selbst in den geschützten Bereich zu bringen. |
|||
Durch die gebräuchliche Kurzform „Trojaner“ wird die mythologische Herkunft des Begriffes genau genommen verkehrt, da die [[Griechen]] die Angreifer waren, welche das Pferd bauten und benutzten, die Trojaner (also die Bewohner [[Troja]]s) hingegen die Angegriffenen. |
|||
== Charakteristik == |
|||
Trojanische Pferde sind Programme, die manchmal gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können, und dem Anwender nicht genannte Funktionen ausführen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den [[Dateiname]]n einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche [[Funktionalität]] aufweisen, und führen vom Anwender unbemerkt heimliche Aktionen auf dem Computer aus. Es besteht auch die Möglichkeit, dass ein Programmierer unbewusst ein Trojanisches Pferd entwickelt, indem er dem Programm eine Funktionalität hinzufügt, die mit dem offensichtlichen Teil des Programms nichts zu tun hat. Wird die Funktion dem Anwender nicht genannt, so handelt es sich definitionsgemäß um ein Trojanisches Pferd. Dies gilt selbst dann, wenn dieser Teil des Programms keinen Schaden verursacht. |
|||
Viele Trojanische Pferde werden dazu verwendet, um auf dem Computer heimlich ein Schadprogramm zu installieren, während sie ausgeführt werden. Diese Schadprogramme laufen dann eigenständig auf dem Computer, was bedeutet, dass sie sich nicht deaktivieren lassen, indem das Trojanerprogramm beendet oder gar gelöscht wird. Die tatsächliche Funktion der installierten Datei kann beliebiger Art sein. So können u. a. eigenständige Spionageprogramme auf den Rechner gelangen (z. B. [[Sniffer]] oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte [[Keylogger]]). Auch die heimliche Installation eines [[Backdoor]]programms ist möglich, welches es gestattet, den Computer über ein Netzwerk (z. B. das Internet) fernzusteuern, ohne dass der Anwender dies kontrollieren kann. |
|||
Weil Trojanische Pferde häufig solche schädlichen Programme installieren, besteht das Missverständnis, dass erst die Funktionen der installierten Programme ein Trojanisches Pferd ausmachen. Trojanische Pferde müssen jedoch nicht notwendigerweise ein Schadprogramm bestimmter Art installieren. Sämtliche Programme, die etwas anderes tun, als dem Anwender angegeben wird, werden als Trojanische Pferde bezeichnet, ungeachtet der Tatsache, ob sie eine Backdoorfuntkionalität beinhalten und fremden Zugriff verschaffen, nur Anwenderdaten sammeln oder Werbung einblenden. |
|||
=== Arten Trojanischer Pferde === |
|||
Zahlreiche Trojanische Pferde entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei heftet ein ''Linker'' (auch ''Binder'' oder ''Joiner'' genannt) das zweite Programm an eine beliebige ausführbare Wirtdatei, ohne dass dieser Vorgang einen Einfluss auf die Funktionalität beider Programme hat. Durch den Start des ersten Programms wird so das zweite Programm, welches im ersten Programm versteckt ist, unbemerkt mitgestartet. Der Autor des Trojanischen Pferdes kann mithilfe eines entsprechenden [[Dienstprogramm]]es jede beliebige ausführbare Datei als Wirtprogramm missbrauchen, ohne Programmierkenntnisse besitzen zu müssen. |
|||
Es gibt Trojanische Pferde, die heimlich eine Installationsroutine starten. Diese Trojanerart wird häufig dafür eingesetzt, um unbemerkt Malware auf ein System zu installieren, sobald das Trojanische Pferd ausgeführt wird. Daher nennt man sie „Dropper“ (vom englischen ''to drop'' – etwas im System „ablegen“). Ein Autostartmechanismus sorgt in der Regel dafür, dass die Malware auch nach einem Neustart des Rechners automatisch geladen wird. Für den Start der Malware ist das Trojanische Pferd auf diesem System nicht mehr erforderlich. |
|||
Demgegenüber gibt es auch Trojanische Pferde, welche die geheimen Funktionen in sich selbst bergen. Wird das Trojanische Pferd beendet oder gar gelöscht, so stehen auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel dafür sind zahlreiche [[Plugin]]s. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzugefügt werden. So kann ein als nützliches [[Browser-Plugin]] getarntes Trojanisches Pferd auf einem Internetbrowser laufen, um beispielsweise über den Browser mit dem Internet zu kommunizieren, wodurch es auf einfache Weise eine [[Firewall]] umginge. |
|||
Allgemein ist es auch möglich, dass ein Trojanisches Pferd sich die externe [[Schnittstelle]] eines Programms zunutze macht. Ähnlich wie ein Plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders, um einen Teil seiner geheimen Funktionen durchführen zu können. Oft nutzt es dabei auch die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solches Trojanisches Pferd mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z. B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde. Der Vorteil dieser Methode gegenüber einem Plugin-Trojaner ist der, dass ein solches Trojanisches Pferd von sich aus jederzeit eine Internetverbindung aufbauen kann (wobei es von vornherein in der Lage ist, Einfluss auf die Darstellung der Fenster zu nehmen), während der Plugin-Trojaner erst dann aktiv wird, wenn der Internetbrowser mit dem installierten Plugin gestartet wurde. |
|||
=== Zur Verbreitung von Trojanischen Pferden === |
|||
Trojanische Pferde können über jeden Weg auf einen Computer gelangen, mit dem Daten auf den Computer gebracht werden. Dies sind insbesondere [[Datenspeicher|Datenträger]] oder Netzwerkverbindungen wie das Internet (z. B. [[Tauschbörse]]n, präparierte Webseiten <ref>[http://www.heise.de/newsticker/meldung/93334 heise.de:] Sophos: 30.000 neu infizierte Webseiten pro Tag. ''„[…] Damit soll die Verbreitung von Trojanern über Webseiten mittlerweile zur häufigsten Angriffsmethode finanziell motivierter Cyberkrimineller gehören.“''</ref>, Versand durch [[E-Mail]]s). Die Verbreitung des Trojanischen Pferdes erfolgt danach durch den Anwender des Computers selbst. Je nach Bedeutsamkeit des Scheinprogramms steigt die Wahrscheinlichkeit, dass der Anwender das Programm an weitere Anwender weitergibt. |
|||
Für die Verbreitung mittels E-Mails wird meistens ein [[Computerwurm]] verwendet, der das Trojanische Pferd transportiert. Der Trojaner selbst wird dadurch, dass er sich augenscheinlich verbreitet, jedoch nicht zu einem [[Computervirus|Virus]]. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm, welcher im Anhang das Trojanische Pferd transportiert. |
|||
Im Jahr 2006 waren 55,6 Prozent der vom Informationsverbund des Bundes registrierten Schadprogramme Trojanische Pferde, nur 9,9 Prozent hingegen Viren. Schwachstellen in Browsern und Büroanwendungen werden mitunter schon am Tag des Bekanntwerdens ausgenutzt. Moderne Trojaner sind von Virenscannern nur noch schwer erkennbar. <ref> [http://www.spiegel.de/netzwelt/web/0,1518,484281,00.html spiegel.de:] BSI-SICHERHEITSKONGRESS: Computer immer stärker bedroht</ref> |
|||
=== Die Schadroutine === |
|||
In der Regel wird das Trojanerprogramm auf direktem Weg durch den Anwender eines Computers gestartet, wodurch es die Zugriffsberechtigung erhält, alle Funktionen zu nutzen, auf die auch der angemeldete Benutzer zugreifen darf. Die Schadroutine kann demnach selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des Computers willentlich ausführen könnte (gleiches gilt für Schadprogramme aller Art, die ein Trojanisches Pferd heimlich auf dem Computer installiert). Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administrationsrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt. |
|||
Um einen Einblick über die Manipulationsmöglichkeiten an betroffenen Rechnern zu geben, sind im Folgenden beispielhaft einige gängige Schadfunktionen aufgelistet: |
|||
* Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mit Hilfe von [[Sniffer]]n. |
|||
* Ausspähen von sensiblen Daten ([[Passwort|Passwörter]], [[Kreditkartennummer]]n, [[Kontonummer]]n und Ähnliches), Dateien kopieren und weiterleiten. |
|||
* Fernsteuerung des Rechners von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von [[Denial of Service|DDoS-Attacken]]. |
|||
* Installation von illegalen [[Dialer]]-Programmen (heimliche Einwahl auf Telefon-[[Mehrwertdienst|Mehrwertrufnummern]]), was dem Opfer finanziellen Schaden zufügt. |
|||
* Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen. |
|||
* Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte [[Browser-Hijacker|Webseiten umleiten]]. |
|||
Ein Trojanisches Pferd muss allerdings nicht zwangsläufig über eine Schadroutine verfügen. Sendet beispielsweise das Programm ohne Wissen des Anwenders unsensible statistische Daten an den Programmierer, die in keinem direkten Bezug zu dem Programm stehen, und lässt der offensichtliche Teil des Programms keinen Rückschluss auf die versteckte Funktionalität zu, so erfüllt das Programm alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden, obgleich es keinen Schaden anrichtet. Dagegen kann eine geheime Funktion schnell zu einer Schadroutine werden, ohne dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf dieses Beispiel wäre das der Fall, wenn das Programm in einem vom Entwickler nicht vorhergesehenen Umfeld eingesetzt wird. Dort könnte die heimliche Datenübermittlung beispielsweise zum Aufbau einer Internetverbindung führen und so ungefragt Kosten verursachen. |
|||
=== Die Tarnung === |
|||
Unter [[Unix]] werden begehrte Befehle wie ''ls'' (Auflisten von Dateien) oder ''ps'' (Anzeige der laufenden Prozesse) gerne durch Trojanische Pferde ersetzt. Zum einen fallen sie so lediglich bei einem Vergleich ihrer Checksummen auf, zum anderen erhöht sich dadurch die Wahrscheinlichkeit, dass ein Administrator das Trojanische Pferd startet, wodurch sie die begehrten Zugriffsrechte erlangen, ohne durch manipulierte Dateirechte aufzufallen. |
|||
Anders als unter Unix wird bei einem [[Microsoft Windows|Microsoft-Windows]]-Betriebssystem ein ausführbares Programm (Executable) nicht an seinen Dateirechten erkannt. Vielmehr legt hier die Endung des Dateinamens fest, ob und wie die Datei ausgeführt wird. Da Trojanische Pferde nur funktionieren können, indem jemand ihren Code startet, sind auch sie gezwungen, eine dementsprechende Dateiendung zu verwenden, wie beispielsweise <tt>.exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk</tt> oder <tt>.pif</tt>. In der Standardkonfiguration zeigt das Betriebssystem diese Dateiendungen im Explorer jedoch nicht an. Dadurch kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von [[Icon (Computer)|Icons]] zu einer Datei, so dass eine schädigende Datei „<tt>Bild.jpg.exe</tt>“ dem Benutzer namentlich nicht nur als „<tt>Bild.jpg</tt>“ angezeigt wird, sondern auch noch das Icon einer Bilddatei erhalten kann und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden ist. |
|||
Eine weitere beliebte Möglichkeit der Maskierung besteht darin, eine Dateiendung mit Hilfe zahlreicher Leerzeichen zu kaschieren. So erscheint eine Datei namens „<tt>harmlos.txt<zahlreiche Leerzeichen>Checked By Norton Antivirus.exe</tt>“ dem Anwender auf den ersten Blick wie eine Textdatei, wobei der restliche Dateiname vom ihm oft nur als Hinweis interpretiert wird. Abhängig von dem Programm, welches die Datei anzeigt, kann es auch vorkommen, dass nicht der komplette Dateiname zu sehen ist, wodurch der Anwender die.exe-Endung der Datei gar nicht erst zu Gesicht bekommt. Da vielen Benutzern die Möglichkeit der Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt. |
|||
Eine weitere Möglichkeit, ausführbaren Code unter einer „harmlosen“ Dateiendung zu verstecken, bieten Programme, die den Dateityp unabhängig von seiner Endung selbst analysieren und sie entsprechend ihrem tatsächlichen Typ behandeln. Als Beispiel ist es zwar theoretisch nicht möglich, in einer RTF-Datei ausführbaren Makrocode zu hinterlegen, da dieses Dateiformat keine Makros unterstützt. Jedoch wird eine Datei namens „<tt>gefährlich.doc</tt>“, die man in „<tt>harmlos.rtf</tt>“ umbenennt, von Office anhand des Dateiinhalts als DOC-Datei erkannt, woraufhin der darin hinterlegte Makrocode trotz der Dateiendung <tt>.rtf</tt> ausgeführt wird. |
|||
Trojanische Pferde, die auf einem [[Exploit]] basieren, bilden hier ebenfalls eine Ausnahme. Sie nutzen Fehler eines Programms aus, um ihren Code zur Ausführung zu bringen. Abhängig von dem Programm, auf dessen Schwachstelle das Trojanische Pferd basiert, kann es sich in jedem Dateityp verbergen, also auch in Dateien, die normalerweise nicht ausführbar sind. So gibt es beispielsweise Trojanische Pferde, deren Code in einer Grafikdatei hinterlegt wurde. Eine Schwachstelle des jeweiligen Browsers vorausgesetzt ist es auch möglich, eine Internetseite derart zu präparieren, dass ein bloßer Aufruf der Seite zur Ausführung des Trojanercodes führt. Auch bei E-Mailprogrammen, die den HTML-Code einer Nachricht automatisch anzeigen, besteht die Gefahr, dass bösartiger Code bereits beim Lesen der Nachricht zur Ausführung gelangt. Der Trojanercode kann jedoch nur dann gestartet werden, wenn die belastete Datei tatsächlich mit dem Programm geöffnet wird, für das das Trojanische Pferd bestimmt ist. |
|||
Oftmals verwenden Trojanische Pferde auch Dateinamen, die es schwer machen, sie von wichtigen Systemdateien zu unterscheiden. Dazu legen sie sich meistens in unübersichtliche Verzeichnisse, wie z. B. im Systemordner von Windows. Werden sie über einen Autostarteintrag der Registry geladen, nutzen sie gerne auch Verschleierungstechniken wie diesen Eintrag: ''„c:\windows\system32\userinit.exe \\localhost\IPC$ -n“''. Bei einer Überprüfung aller Autostarteinträge wird eine mögliche Recherche im Internet ergeben, das <tt>userinit.exe</tt> ein regulärer Bestandteil des Betriebssystems ist. Und die Überprüfung der Datei wird dem Anwender bestätigen, dass es sich um das Original handelt (sogar mit möglichem Zertifikat). Auch ''„\\localhost\IPC$“'' ist eine reguläre, vom System erstellte Standardfreigabe für interne Zwecke. Alles scheint in Ordnung zu sein, bis auf die Tatsache, dass hier nicht ''„c:\windows\system32\userinit.exe“'' geladen wird, sondern ''„IPC$ -n.exe“'', welche im Verzeichnis ''„c:\windows\system32\userinit.exe \localhost\“'' liegt (wobei unter den aktuellen Versionen von Windows das vermeintliche Leerzeichen vor „ ''\localhost\“'' tatsächlich ein Sonderzeichen sein muss, welches sich mit Alt+255 erzeugen lässt). |
|||
== Abgrenzung zum Computervirus == |
|||
Im Unterschied zu einem [[Computervirus]] fehlt dem Trojanischen Pferd die Eigenschaft, sich selbständig zu verbreiten. Wird ein Virus aufgerufen, so reproduziert er sich, indem er sich in fremde Dateien einschleust und sich an diese ''Wirtsdateien'' anhängt. Eine durch einen Virus ''infizierte Datei'' besteht somit aus zwei Komponenten: Aus der ''Wirtsdatei'' (einem beliebigen Programm) und dem angehängten ''Virus''. |
|||
Dadurch, dass das Wirtprogramm infiziert wurde, enthält es also eine versteckte Komponente, die nämlich beim Programmstart unbemerkt den Virus in das System lädt. Damit erfüllt die Wirtsdatei (nicht jedoch der Virus) alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden. Genau genommen ist somit jede durch einen Virus infizierte Datei ein Trojanisches Pferd. Die Virusdefinition hingegen umschließt lediglich den sich vermehrenden Virencode und seine Schadroutine, nicht jedoch die infizierte Datei, welche den Virus beherbergt. |
|||
Diese exakte Unterscheidung wird in der Fachwelt selten vorgenommen. Ein zu klassifizierendes Programm bezeichnet man dort in der Regel erst dann als Trojanisches Pferd, wenn es nicht zufällig durch einen Virus, sondern gezielt durch seinen Entwickler oder mit Hilfe eines Tools um eine böswillige Komponente erweitert wurde. Damit wird der Sprachgebrauch jedoch nur zum Teil der parallel verbreiteten Definition gerecht. |
|||
=== Das Trojanische Pferd als Mittel zur Verbreitung von Viren === |
|||
Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat, können Trojanische Pferde auch für die Verbreitung von Viren eingesetzt werden. So könnte ein als Spiel getarntes Trojanerprogramm mithilfe der Schadroutine z. B. Makroviren an Officedateien hängen, während das Spiel ausgeführt wird. Auf dem infizierten System würde das Trojanische Pferd nicht mehr benötigt, da sich der Virus nun automatisch verbreiten kann, sobald eine der infizierten Dateien geöffnet wird. Das Trojanische Pferd hat den Virus lediglich in das System geschleust. |
|||
=== Programme mit verknüpfter Trojaner- und Virenfunktionalität === |
|||
Ebenfalls schwer fällt die Unterscheidung zwischen Trojanischem Pferd und Virus, wenn beispielsweise die Schadroutine das Trojanische Pferd heimlich kopiert. Auf diese Weise kann es unbemerkt auf andere Datenträger gelangen. Durch das automatische Vervielfältigen des eigenen Programmcodes erfüllt das Trojanische Pferd alle Bedingungen, um auch als Virus klassifiziert zu werden. Daher handelt es sich bei einer solchen Datei um ein Trojanisches Pferd und um einen Virus vereint in einem Programm. |
|||
== Abgrenzung zum Oberbegriff für Backdoors und Rootkits == |
|||
Häufig wird die durch ein Trojanisches Pferd installierte Malware gemeinsam mit dem Hilfsprogramm als „Trojanisches Pferd“ bezeichnet. Bezogen auf den assoziativen Ursprung des Begriffs aus der griechischen Mythologie wäre laut dieser These nicht der zur Tarnung dienende Holzrahmen das Trojanische Pferd, sondern auch die darin versteckten Soldaten. |
|||
Als Beispiel könnte ein Trojanisches Pferd heimlich ein Backdoor-Programm installieren. Ein Eindringling greift nun jedoch auf das installierte Programm zu, und nicht auf das Trojanische Pferd. Es diente in diesem Fall lediglich als Hilfsprogramm, welches dazu gedacht war, die Malware heimlich zu installieren. Solche Hilfsprogramme sind definitionsgemäß Trojanische Pferde, weil sie sich als nützliche Anwendung ausgeben (z. B. als ein Spiel oder ein Bildschirmschoner) aber dabei unbemerkt ein weiteres, verstecktes Programm auf den Computer einschleusen. Es ist jedoch nicht notwendig, dass ein Trojanisches Pferd notwendigerweise eine Backdoor installieren müsse. |
|||
Die Mehrheit der als „verbreitet“ bezeichneten Trojanischen Pferde installieren oder beinhalten Backdoorprogramme oder Rootkits. Trojanische Pferde müssen diese jedoch nicht notwendigerweise enthalten: Es gibt verschiedene weitere Programme, die als Trojaner bezeichnet werden, jedoch nicht die Funktion einer Backdoor haben (z. B. solche, deren Schadroutine nur Anwenderdaten versendet). „Trojanisches Pferd“ bezeichnet damit nicht notwendigerweise eine Backdoor oder ein Rootkit, wenngleich die meisten Backdoors bzw. Rootkits mittels eines Trojanischen Pferdes auf ihren Zielcomputer gelangen. |
|||
== Historischer Abriss == |
== Historischer Abriss == |
||
Version vom 6. Oktober 2007, 11:10 Uhr
Als Trojanisches Pferd, auch kurz Trojaner genannt, bezeichnet man ein Computerprogramm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.
Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen.
Etymologie
Der Name ist vom Trojanischen Pferd der Mythologie abgeleitet, das dem Angreifer den Zugang zu einem geschützten System verschaffte, indem es als etwas Nützliches getarnt den Angegriffenen dazu veranlasste, es selbst in den geschützten Bereich zu bringen.
Durch die gebräuchliche Kurzform „Trojaner“ wird die mythologische Herkunft des Begriffes genau genommen verkehrt, da die Griechen die Angreifer waren, welche das Pferd bauten und benutzten, die Trojaner (also die Bewohner Trojas) hingegen die Angegriffenen.
Charakteristik
Trojanische Pferde sind Programme, die manchmal gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können, und dem Anwender nicht genannte Funktionen ausführen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen, und führen vom Anwender unbemerkt heimliche Aktionen auf dem Computer aus. Es besteht auch die Möglichkeit, dass ein Programmierer unbewusst ein Trojanisches Pferd entwickelt, indem er dem Programm eine Funktionalität hinzufügt, die mit dem offensichtlichen Teil des Programms nichts zu tun hat. Wird die Funktion dem Anwender nicht genannt, so handelt es sich definitionsgemäß um ein Trojanisches Pferd. Dies gilt selbst dann, wenn dieser Teil des Programms keinen Schaden verursacht.
Viele Trojanische Pferde werden dazu verwendet, um auf dem Computer heimlich ein Schadprogramm zu installieren, während sie ausgeführt werden. Diese Schadprogramme laufen dann eigenständig auf dem Computer, was bedeutet, dass sie sich nicht deaktivieren lassen, indem das Trojanerprogramm beendet oder gar gelöscht wird. Die tatsächliche Funktion der installierten Datei kann beliebiger Art sein. So können u. a. eigenständige Spionageprogramme auf den Rechner gelangen (z. B. Sniffer oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte Keylogger). Auch die heimliche Installation eines Backdoorprogramms ist möglich, welches es gestattet, den Computer über ein Netzwerk (z. B. das Internet) fernzusteuern, ohne dass der Anwender dies kontrollieren kann.
Weil Trojanische Pferde häufig solche schädlichen Programme installieren, besteht das Missverständnis, dass erst die Funktionen der installierten Programme ein Trojanisches Pferd ausmachen. Trojanische Pferde müssen jedoch nicht notwendigerweise ein Schadprogramm bestimmter Art installieren. Sämtliche Programme, die etwas anderes tun, als dem Anwender angegeben wird, werden als Trojanische Pferde bezeichnet, ungeachtet der Tatsache, ob sie eine Backdoorfuntkionalität beinhalten und fremden Zugriff verschaffen, nur Anwenderdaten sammeln oder Werbung einblenden.
Arten Trojanischer Pferde
Zahlreiche Trojanische Pferde entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei heftet ein Linker (auch Binder oder Joiner genannt) das zweite Programm an eine beliebige ausführbare Wirtdatei, ohne dass dieser Vorgang einen Einfluss auf die Funktionalität beider Programme hat. Durch den Start des ersten Programms wird so das zweite Programm, welches im ersten Programm versteckt ist, unbemerkt mitgestartet. Der Autor des Trojanischen Pferdes kann mithilfe eines entsprechenden Dienstprogrammes jede beliebige ausführbare Datei als Wirtprogramm missbrauchen, ohne Programmierkenntnisse besitzen zu müssen.
Es gibt Trojanische Pferde, die heimlich eine Installationsroutine starten. Diese Trojanerart wird häufig dafür eingesetzt, um unbemerkt Malware auf ein System zu installieren, sobald das Trojanische Pferd ausgeführt wird. Daher nennt man sie „Dropper“ (vom englischen to drop – etwas im System „ablegen“). Ein Autostartmechanismus sorgt in der Regel dafür, dass die Malware auch nach einem Neustart des Rechners automatisch geladen wird. Für den Start der Malware ist das Trojanische Pferd auf diesem System nicht mehr erforderlich.
Demgegenüber gibt es auch Trojanische Pferde, welche die geheimen Funktionen in sich selbst bergen. Wird das Trojanische Pferd beendet oder gar gelöscht, so stehen auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel dafür sind zahlreiche Plugins. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzugefügt werden. So kann ein als nützliches Browser-Plugin getarntes Trojanisches Pferd auf einem Internetbrowser laufen, um beispielsweise über den Browser mit dem Internet zu kommunizieren, wodurch es auf einfache Weise eine Firewall umginge.
Allgemein ist es auch möglich, dass ein Trojanisches Pferd sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein Plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders, um einen Teil seiner geheimen Funktionen durchführen zu können. Oft nutzt es dabei auch die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solches Trojanisches Pferd mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z. B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde. Der Vorteil dieser Methode gegenüber einem Plugin-Trojaner ist der, dass ein solches Trojanisches Pferd von sich aus jederzeit eine Internetverbindung aufbauen kann (wobei es von vornherein in der Lage ist, Einfluss auf die Darstellung der Fenster zu nehmen), während der Plugin-Trojaner erst dann aktiv wird, wenn der Internetbrowser mit dem installierten Plugin gestartet wurde.
Zur Verbreitung von Trojanischen Pferden
Trojanische Pferde können über jeden Weg auf einen Computer gelangen, mit dem Daten auf den Computer gebracht werden. Dies sind insbesondere Datenträger oder Netzwerkverbindungen wie das Internet (z. B. Tauschbörsen, präparierte Webseiten [1], Versand durch E-Mails). Die Verbreitung des Trojanischen Pferdes erfolgt danach durch den Anwender des Computers selbst. Je nach Bedeutsamkeit des Scheinprogramms steigt die Wahrscheinlichkeit, dass der Anwender das Programm an weitere Anwender weitergibt.
Für die Verbreitung mittels E-Mails wird meistens ein Computerwurm verwendet, der das Trojanische Pferd transportiert. Der Trojaner selbst wird dadurch, dass er sich augenscheinlich verbreitet, jedoch nicht zu einem Virus. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm, welcher im Anhang das Trojanische Pferd transportiert.
Im Jahr 2006 waren 55,6 Prozent der vom Informationsverbund des Bundes registrierten Schadprogramme Trojanische Pferde, nur 9,9 Prozent hingegen Viren. Schwachstellen in Browsern und Büroanwendungen werden mitunter schon am Tag des Bekanntwerdens ausgenutzt. Moderne Trojaner sind von Virenscannern nur noch schwer erkennbar. [2]
Die Schadroutine
In der Regel wird das Trojanerprogramm auf direktem Weg durch den Anwender eines Computers gestartet, wodurch es die Zugriffsberechtigung erhält, alle Funktionen zu nutzen, auf die auch der angemeldete Benutzer zugreifen darf. Die Schadroutine kann demnach selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des Computers willentlich ausführen könnte (gleiches gilt für Schadprogramme aller Art, die ein Trojanisches Pferd heimlich auf dem Computer installiert). Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administrationsrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt.
Um einen Einblick über die Manipulationsmöglichkeiten an betroffenen Rechnern zu geben, sind im Folgenden beispielhaft einige gängige Schadfunktionen aufgelistet:
- Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mit Hilfe von Sniffern.
- Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
- Fernsteuerung des Rechners von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
- Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
- Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen.
- Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten umleiten.
Ein Trojanisches Pferd muss allerdings nicht zwangsläufig über eine Schadroutine verfügen. Sendet beispielsweise das Programm ohne Wissen des Anwenders unsensible statistische Daten an den Programmierer, die in keinem direkten Bezug zu dem Programm stehen, und lässt der offensichtliche Teil des Programms keinen Rückschluss auf die versteckte Funktionalität zu, so erfüllt das Programm alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden, obgleich es keinen Schaden anrichtet. Dagegen kann eine geheime Funktion schnell zu einer Schadroutine werden, ohne dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf dieses Beispiel wäre das der Fall, wenn das Programm in einem vom Entwickler nicht vorhergesehenen Umfeld eingesetzt wird. Dort könnte die heimliche Datenübermittlung beispielsweise zum Aufbau einer Internetverbindung führen und so ungefragt Kosten verursachen.
Die Tarnung
Unter Unix werden begehrte Befehle wie ls (Auflisten von Dateien) oder ps (Anzeige der laufenden Prozesse) gerne durch Trojanische Pferde ersetzt. Zum einen fallen sie so lediglich bei einem Vergleich ihrer Checksummen auf, zum anderen erhöht sich dadurch die Wahrscheinlichkeit, dass ein Administrator das Trojanische Pferd startet, wodurch sie die begehrten Zugriffsrechte erlangen, ohne durch manipulierte Dateirechte aufzufallen.
Anders als unter Unix wird bei einem Microsoft-Windows-Betriebssystem ein ausführbares Programm (Executable) nicht an seinen Dateirechten erkannt. Vielmehr legt hier die Endung des Dateinamens fest, ob und wie die Datei ausgeführt wird. Da Trojanische Pferde nur funktionieren können, indem jemand ihren Code startet, sind auch sie gezwungen, eine dementsprechende Dateiendung zu verwenden, wie beispielsweise .exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif. In der Standardkonfiguration zeigt das Betriebssystem diese Dateiendungen im Explorer jedoch nicht an. Dadurch kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schädigende Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt wird, sondern auch noch das Icon einer Bilddatei erhalten kann und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden ist.
Eine weitere beliebte Möglichkeit der Maskierung besteht darin, eine Dateiendung mit Hilfe zahlreicher Leerzeichen zu kaschieren. So erscheint eine Datei namens „harmlos.txt<zahlreiche Leerzeichen>Checked By Norton Antivirus.exe“ dem Anwender auf den ersten Blick wie eine Textdatei, wobei der restliche Dateiname vom ihm oft nur als Hinweis interpretiert wird. Abhängig von dem Programm, welches die Datei anzeigt, kann es auch vorkommen, dass nicht der komplette Dateiname zu sehen ist, wodurch der Anwender die.exe-Endung der Datei gar nicht erst zu Gesicht bekommt. Da vielen Benutzern die Möglichkeit der Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.
Eine weitere Möglichkeit, ausführbaren Code unter einer „harmlosen“ Dateiendung zu verstecken, bieten Programme, die den Dateityp unabhängig von seiner Endung selbst analysieren und sie entsprechend ihrem tatsächlichen Typ behandeln. Als Beispiel ist es zwar theoretisch nicht möglich, in einer RTF-Datei ausführbaren Makrocode zu hinterlegen, da dieses Dateiformat keine Makros unterstützt. Jedoch wird eine Datei namens „gefährlich.doc“, die man in „harmlos.rtf“ umbenennt, von Office anhand des Dateiinhalts als DOC-Datei erkannt, woraufhin der darin hinterlegte Makrocode trotz der Dateiendung .rtf ausgeführt wird.
Trojanische Pferde, die auf einem Exploit basieren, bilden hier ebenfalls eine Ausnahme. Sie nutzen Fehler eines Programms aus, um ihren Code zur Ausführung zu bringen. Abhängig von dem Programm, auf dessen Schwachstelle das Trojanische Pferd basiert, kann es sich in jedem Dateityp verbergen, also auch in Dateien, die normalerweise nicht ausführbar sind. So gibt es beispielsweise Trojanische Pferde, deren Code in einer Grafikdatei hinterlegt wurde. Eine Schwachstelle des jeweiligen Browsers vorausgesetzt ist es auch möglich, eine Internetseite derart zu präparieren, dass ein bloßer Aufruf der Seite zur Ausführung des Trojanercodes führt. Auch bei E-Mailprogrammen, die den HTML-Code einer Nachricht automatisch anzeigen, besteht die Gefahr, dass bösartiger Code bereits beim Lesen der Nachricht zur Ausführung gelangt. Der Trojanercode kann jedoch nur dann gestartet werden, wenn die belastete Datei tatsächlich mit dem Programm geöffnet wird, für das das Trojanische Pferd bestimmt ist.
Oftmals verwenden Trojanische Pferde auch Dateinamen, die es schwer machen, sie von wichtigen Systemdateien zu unterscheiden. Dazu legen sie sich meistens in unübersichtliche Verzeichnisse, wie z. B. im Systemordner von Windows. Werden sie über einen Autostarteintrag der Registry geladen, nutzen sie gerne auch Verschleierungstechniken wie diesen Eintrag: „c:\windows\system32\userinit.exe \\localhost\IPC$ -n“. Bei einer Überprüfung aller Autostarteinträge wird eine mögliche Recherche im Internet ergeben, das userinit.exe ein regulärer Bestandteil des Betriebssystems ist. Und die Überprüfung der Datei wird dem Anwender bestätigen, dass es sich um das Original handelt (sogar mit möglichem Zertifikat). Auch „\\localhost\IPC$“ ist eine reguläre, vom System erstellte Standardfreigabe für interne Zwecke. Alles scheint in Ordnung zu sein, bis auf die Tatsache, dass hier nicht „c:\windows\system32\userinit.exe“ geladen wird, sondern „IPC$ -n.exe“, welche im Verzeichnis „c:\windows\system32\userinit.exe \localhost\“ liegt (wobei unter den aktuellen Versionen von Windows das vermeintliche Leerzeichen vor „ \localhost\“ tatsächlich ein Sonderzeichen sein muss, welches sich mit Alt+255 erzeugen lässt).
Abgrenzung zum Computervirus
Im Unterschied zu einem Computervirus fehlt dem Trojanischen Pferd die Eigenschaft, sich selbständig zu verbreiten. Wird ein Virus aufgerufen, so reproduziert er sich, indem er sich in fremde Dateien einschleust und sich an diese Wirtsdateien anhängt. Eine durch einen Virus infizierte Datei besteht somit aus zwei Komponenten: Aus der Wirtsdatei (einem beliebigen Programm) und dem angehängten Virus.
Dadurch, dass das Wirtprogramm infiziert wurde, enthält es also eine versteckte Komponente, die nämlich beim Programmstart unbemerkt den Virus in das System lädt. Damit erfüllt die Wirtsdatei (nicht jedoch der Virus) alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden. Genau genommen ist somit jede durch einen Virus infizierte Datei ein Trojanisches Pferd. Die Virusdefinition hingegen umschließt lediglich den sich vermehrenden Virencode und seine Schadroutine, nicht jedoch die infizierte Datei, welche den Virus beherbergt.
Diese exakte Unterscheidung wird in der Fachwelt selten vorgenommen. Ein zu klassifizierendes Programm bezeichnet man dort in der Regel erst dann als Trojanisches Pferd, wenn es nicht zufällig durch einen Virus, sondern gezielt durch seinen Entwickler oder mit Hilfe eines Tools um eine böswillige Komponente erweitert wurde. Damit wird der Sprachgebrauch jedoch nur zum Teil der parallel verbreiteten Definition gerecht.
Das Trojanische Pferd als Mittel zur Verbreitung von Viren
Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat, können Trojanische Pferde auch für die Verbreitung von Viren eingesetzt werden. So könnte ein als Spiel getarntes Trojanerprogramm mithilfe der Schadroutine z. B. Makroviren an Officedateien hängen, während das Spiel ausgeführt wird. Auf dem infizierten System würde das Trojanische Pferd nicht mehr benötigt, da sich der Virus nun automatisch verbreiten kann, sobald eine der infizierten Dateien geöffnet wird. Das Trojanische Pferd hat den Virus lediglich in das System geschleust.
Programme mit verknüpfter Trojaner- und Virenfunktionalität
Ebenfalls schwer fällt die Unterscheidung zwischen Trojanischem Pferd und Virus, wenn beispielsweise die Schadroutine das Trojanische Pferd heimlich kopiert. Auf diese Weise kann es unbemerkt auf andere Datenträger gelangen. Durch das automatische Vervielfältigen des eigenen Programmcodes erfüllt das Trojanische Pferd alle Bedingungen, um auch als Virus klassifiziert zu werden. Daher handelt es sich bei einer solchen Datei um ein Trojanisches Pferd und um einen Virus vereint in einem Programm.
Abgrenzung zum Oberbegriff für Backdoors und Rootkits
Häufig wird die durch ein Trojanisches Pferd installierte Malware gemeinsam mit dem Hilfsprogramm als „Trojanisches Pferd“ bezeichnet. Bezogen auf den assoziativen Ursprung des Begriffs aus der griechischen Mythologie wäre laut dieser These nicht der zur Tarnung dienende Holzrahmen das Trojanische Pferd, sondern auch die darin versteckten Soldaten.
Als Beispiel könnte ein Trojanisches Pferd heimlich ein Backdoor-Programm installieren. Ein Eindringling greift nun jedoch auf das installierte Programm zu, und nicht auf das Trojanische Pferd. Es diente in diesem Fall lediglich als Hilfsprogramm, welches dazu gedacht war, die Malware heimlich zu installieren. Solche Hilfsprogramme sind definitionsgemäß Trojanische Pferde, weil sie sich als nützliche Anwendung ausgeben (z. B. als ein Spiel oder ein Bildschirmschoner) aber dabei unbemerkt ein weiteres, verstecktes Programm auf den Computer einschleusen. Es ist jedoch nicht notwendig, dass ein Trojanisches Pferd notwendigerweise eine Backdoor installieren müsse.
Die Mehrheit der als „verbreitet“ bezeichneten Trojanischen Pferde installieren oder beinhalten Backdoorprogramme oder Rootkits. Trojanische Pferde müssen diese jedoch nicht notwendigerweise enthalten: Es gibt verschiedene weitere Programme, die als Trojaner bezeichnet werden, jedoch nicht die Funktion einer Backdoor haben (z. B. solche, deren Schadroutine nur Anwenderdaten versendet). „Trojanisches Pferd“ bezeichnet damit nicht notwendigerweise eine Backdoor oder ein Rootkit, wenngleich die meisten Backdoors bzw. Rootkits mittels eines Trojanischen Pferdes auf ihren Zielcomputer gelangen.
Historischer Abriss
Knapp drei Jahre nachdem Dan Edwards 1972 ein von ihm als „Trojan horse“ betiteltes theoretisches Konzept vorgestellt hatte, um eine besondere Rechnersicherheitsbedrohung zu charakterisieren, bewahrheitete sich seine Hypothese. Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde für die Univac 1108 geschrieben und wird als das erste bekannte Trojanische Pferd bezeichnet. Die Spielregeln sahen vor, dass der Spieler an ein Tier denken musste, welches das Programm durch gezielte Fragen zu erraten versuchte. Konnte das Tier noch nicht ermittelt werden, so aktualisierte das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal die alte Version des Programms durch die aktualisierte Version überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das komplette System mit Kopien dieses Programms voll geschrieben wurde. Die Frage, ob es sich hierbei um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelte, ist bis heute unbeantwortet geblieben.
Im Dezember 1989 erschien das erste Trojanische Pferd, das seine Opfer erpressen sollte, wobei es eine weltweite Aufmerksamkeit auf sich zog. Dr. Joseph W. Popp, ein damals 39 Jahre alter Wissenschaftler aus Cleveland bei Ohio, verschickte 20.000 belastete Disketten mit der Aufschrift „AIDS Information Introductory Diskette“ an Adressen in Europa, Afrika, Asien und der WHO. Sein Trojaner versteckte nach einiger Zeit sämtliche Verzeichnisse, verschlüsselte die Dateinamen und hinterließ auf dem Rechner eine Aufforderung, für die Wiederherstellung 378 US-Dollar an eine fiktive „PC Cyborg Corporation“ auf ein existierendes Postfach in Panama zu schicken. Obwohl er in England für unzurechnungsfähig erklärt wurde, hat ihn ein italienisches Gericht in Abwesenheit zu zwei Jahren Haft verurteilt.
Im August 2000 erschien das erste bekannte Trojanische Pferd für PDAs. Der unter den Namen „Liberty Crack“ getaufte Schädling wurde von Aaron Ardiri, dem Co-Entwickler des gleichnamigen Palm Game Boy Emulators, entwickelt. Er tarnt sich als Crack für den Emulator, löscht heimlich die installierte Software und initialisiert wichtige Einstellungen des Palms. Als das Trojanische Pferd außer Kontrolle geriet, half Adriri die Verbreitung einzudämmen.
Im Oktober 2005 machte der renommierte Systemspezialist Mark Russinovich eine verblüffende Entdeckung. Während er eine kurz zuvor gekaufte Musik-CD von SONY BMG auf seinem Computer abspielte, installierte sich heimlich ein Rootkit auf seinem System. Dank einer parallel laufenden Systemanalyse entdeckte er so per Zufall das erste Trojanische Pferd, das über legal erworbene Musik-CDs den Weg auf den Rechner fand. Der bewusst von SONY BMG in Umlauf gebrachte „XCP“-Trojaner war Teil einer sehr aggressiven Kopierschutzkampagne. Die heimlich installierte Malware sammelt Informationen über den Benutzer und schickt diese über das Internet an den Konzern. Zudem schafft sie neue Sicherheitslöcher und bremst dank einer Designschwäche das System auch dann aus, wenn keine CD abgespielt wird. Bereits zwei Wochen nach dieser Entdeckung erschien „Ryknos“, das erste Trojanische Pferd, das sich der Sicherheitslücken von „XCP“ bediente und ein Backdoor-Programm auf den befallenen Rechnern installierte.
Spätestens seit dem Jahr 2006 entwickelt das Bundeskriminalamt ein im Netzjargon „Bundestrojaner“ genanntes Programm zum Ausspähen von Daten zum Zwecke der Strafverfolgung.
Schutzmöglichkeiten
Den einzig wirkungsvollen Schutz vor Trojanischen Pferden bietet der Verzicht auf die Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.
Viele Antivirenprogramme erkennen neben Computerviren auch weitere Malware, darunter eine Vielzahl bekannter Trojanischer Pferde. Ihre Erkennungsrate erhebt jedoch keinen Anspruch auf Vollständigkeit. Wird ein Trojanisches Pferd erkannt, bevor der Anwender es startet, ist der Schutzmechanismus recht wirkungsvoll, wohingegen bereits ausgeführte Trojanische Pferde von der Antivirensoftware nur bedingt zuverlässig aus dem System entfernt werden können. Gleiches gilt für die Schadsoftware, welche eventuell durch ein Trojanisches Pferd installiert wurde. Auch gelingt es zahlreichen Trojanischen Pferden, die Antivirensoftware zu deaktivieren oder das System derart zu manipulieren, dass sie von der Software nicht mehr entdeckt werden.
Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen. Einige Personals Firewalls bieten als zusätzlichen Schutz auch eine Überwachung der Autostarteinträge des Systems, was dem Anwender einen Hinweis auf eine Trojanerinstallation liefert, wenngleich auch die Firewallsoftware von zahlreichen Trojanischen Pferden deaktiviert und nicht selten überlistet werden kann.
Als neuen Weg zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Group (TCG) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander zu isolieren versucht. Es bleibt aber zu bedenken, dass auf Grund des Prinzips Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzen, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert.
Wird ein bereits installiertes Trojanisches Pferd erkannt, so ist es ratsam, die Bereinigung des Systems über die Einspielung des letzten „sauberen“ Abbildes der Festplatte (Image) vorzunehmen, da ein Softwareprodukt (z. B. Virenscanner) diese Aufgabe nur bedingt zuverlässig erledigen kann.
Siehe auch
Quellen
- ↑ heise.de: Sophos: 30.000 neu infizierte Webseiten pro Tag. „[…] Damit soll die Verbreitung von Trojanern über Webseiten mittlerweile zur häufigsten Angriffsmethode finanziell motivierter Cyberkrimineller gehören.“
- ↑ spiegel.de: BSI-SICHERHEITSKONGRESS: Computer immer stärker bedroht
Weblinks
- TU-Berlin HOAX-INFO Weblog – Website der TU-Berlin über Trojaner und andere schädliche Programme
- Ken Thompson, Reflections on Trusting Trust. Englischer Artikel über Softwaresicherheit und deren Untergrabung, etwa durch Trojaner
- Trojaner-Info.de, Deutsche Trojaner-Info-Page. Umfangreiche Trojaner-Seiten mit Tipps zur Erkennung und Entfernen von trojanischen Pferden und aktuellen News zu Trojanern, Viren und Phishing-Attacken
- Trojaner nein danke – Schützen Sie Ihre Identität! – Informationen rund um Trojaner