„Trojanisches Pferd (Computerprogramm)“ – Versionsunterschied

Als Trojanisches Pferd bezeichnet man in der Computersprache schädigende Programme, die als nützliche Programme getarnt sind oder zusammenhängend mit einem nützlichen Programm verbreitet werden, aber tatsächlich auf dem Computer im Verborgenen unerwünschte Aktionen ausführen können.

Umgangssprachlich werden Trojanische Pferde – in Anlehnung an die griechische Mythologie – auch Trojaner (engl. Trojan) genannt. Falsch ist dieses deshalb, weil die Trojaner eigentlich die Opfer des Trojanischen Pferdes der Mythologie geworden sind und nicht dessen Urheber waren. Allerdings ist der Ausdruck „Trojaner“ mittlerweile derart verbreitet, dass er weitgehend akzeptiert ist.

Ein Trojanisches Pferd zählt zur Familie schädlicher bzw. unerwünschter Programme, der so genannten Malware, worin auch Computerviren und Rootkits einzuordnen sind. Die Grenze zwischen Backdoors, Rootkits und Trojanischen Pferden ist fließend, umgangssprachlich werden diese Begriffe häufig synonym verwendet.

Trojanische Pferde sind Schad-Programme (Malware), die auf fremde Computer eingeschleust werden, um unentdeckt Aktionen auszuführen. Häufig sind diese Trojanischen Pferde als nützliche Programme getarnt – benutzen beispielsweise den Dateinamen einer nützlichen Datei – oder sind mit einem tatsächlich nützlichen Programm verbunden. Der tatsächliche Nutzen der Datei, die ein Trojanisches Pferd enthält, kann beliebiger Art sein.

Durch Ausführen einer solchen Datei wird ein Computer oft mit einem schädlichen Dienst eines Trojanischen Pferdes „infiziert“. Das Trojanische Pferd kann von diesem Zeitpunkt an beliebige Aktionen auf dem infizierten Computer durchführen. Häufig enthalten Trojanische Pferde Spionagefunktionen (z. B. Sniffer oder Routinen, die Tastatureingaben aufzeichnen, sogenannte Keylogger) und Funktionen, die es ermöglichen, einen Computer, unkontrolliert vom Anwender, über ein Netzwerk - z. B. das Internet - fernzusteuern (Backdoors).

So hat einer der frühen Trojaner in einem Unix-System die Anmeldeabfrage ersetzt, um die Passworteingaben heimlich in eine Datei zu schreiben. Nach erfolgter Eingabe leitete er die Daten an den tatsächlichen Loginprozess des Systems weiter und veranlasste so die Authentifizierung des Anwenders. Der Trojaner gab sich also gegenüber dem Anwender als Anmeldeprozess aus, hat aber zusätzlich im Hintergrund heimlich die Passworte aufgezeichnet.

Trojaner werden auch als harmlos anmutende Programme, wie Spiele oder Bildschimschoner, verbreitet, welche im Hintergrund unbemerkt ein weiteres Schadprogramm auf dem PC installieren. Diese Technik ist unauffällig und führt häufig zum Erfolg.

Ursprünglich waren Trojanische Pferde nicht dafür vorgesehen, sich selbst zu verbreiten, sondern wurden gezielt gegen einzelne „Opfer“ eingesetzt (z. B. in der Wirtschaftsspionage). Mittlerweile jedoch sind zahlreiche Mischformen der Malware bekannt, die sich wie Computerwürmer selbst verbreiten können, aber auch die Züge von Trojanischen Pferden aufweisen. Diese Entwicklung macht eine klare Unterscheidung schwer; mehr dazu unten.

Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde für die Univac 1108 geschrieben und stellt den ersten bekannten Trojaner dar. Die Spielregeln waren einfach: Der Spieler musste an ein Tier denken und das Programm stellte Fragen, um so das Tier zu erraten. Konnte das Tier noch nicht identifiziert werden, so aktualisierte das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal die alte Version des Programms durch die aktualisierte Version überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das komplette System mit Kopien dieses Programms voll geschrieben wurde. Ob es sich hierbei um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelt, konnte nicht geklärt werden.

Trojanische Pferde können entweder über Datenträger gezielt auf Computer übertragen werden oder im Internet, z. B. in Tauschbörsen, versteckt in angebotenen Dateien an beliebige Teilnehmer verteilt werden. Nach dem Programmaufruf installieren sie ihre Schadroutine im Hintergrund und sorgen dafür, dass sie beim erneuten Start des Computers automatisch wieder aktiviert werden (Autostart). Oftmals haben die Schadroutinen Dateinamen, die es schwer machen, sie von Systemdateien zu unterscheiden und befinden sich in unübersichtlichen Verzeichnissen. Die Schadroutine ist nach der Installation unabhängig vom ursprünglichen Trojanischen Pferd, das nur als Überträger dient und kann daher durch das Löschen des Trojanischen Pferdes - der Überträgerdatei - nicht entfernt werden. Auf dem infizierten PC können durch die Schadroutine schließlich alle Funktionen ausgeführt werden, die der Status des angemeldeten Benutzers zulässt. Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administratorrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine oder durch einen beliebigen Angreifer über das Netzwerk mittels einer Hintertür (Backdoor), unbegrenzt. Das Trojanische Pferd kann demnach in der Regel selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des infizierten Computers willentlich ausführen könnte.

Der Trojaner wird oft durch den Anwender selbst verbreitet. Wirkt das Scheinprogramm nützlich, dann besteht eine große Wahrscheinlichkeit, dass der Anwender das Programm auch an viele seiner Bekannten weitergibt. Eine andere Möglichkeit, wie Trojaner verbreitet werden, besteht darin, ihn als Anhang in einer eMail zu versenden. Dafür wird meistens ein Wurm verwendet, der den Trojaner transportiert. Der Trojaner selbst wird dadurch jedoch nicht zu einem Virus. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm, welcher im Anhang den Trojaner transportiert.

Ein Trojaner selbst ist kein Virus, da ihm die Eigenschaft fehlt, sich eigenständig zu verbreiten. Wenn man die Definition eines Trojaners näher betrachtet, so wird klar, dass der Trojaner immer nur der Wirt ist, welcher eine geheime Komponente in sich birgt. Genau genommen ist somit jede durch einen Virus infizierte Datei ein Trojaner. Der Wirt, also die infizierte Datei selbst, vermehrt sich nicht. Nur der ihr angehängte Virus heftet sich an andere Dateien.

Die Datei könnte ein harmloses Programm sein. Dadurch, dass es mit einem Virus infiziert wurde, verliert das Programm jedoch seine Harmlosigkeit: Wird es auf einem Rechner installiert, kommt zu dem bewusst installierten Programm unbemerkt auch der Virus in das System. Dadurch erfüllt das Programm (der Wirt, nicht jedoch der Virus) alle Bedingungen, um auch als Trojaner klassifiziert zu werden.

Diese genaue Unterscheidung wird in der Fachwelt jedoch selten vorgenommen. Ein Programm wird dort in der Regel erst dann als Trojaner bezeichnet, wenn es nicht zufällig durch einen Virus, sondern gezielt, z.B. mit Hilfe eines Tools, um eine böswillige Komponente erweitert wurde. Als Trojaner bezeichnet man zudem ein Programm, welches von vornherein so entwickelt wurde, dass es eine geheime Komponente in sich birgt.

Wenn der Programmierer des heimlichen Programmteils es so vorgesehen hat, können Trojaner durchaus für die Verbreitung von Viren zuständig sein. So könnte ein als Spiel getarnter Trojaner Makroviren an Office-Dateien hängen, während das Spiel ausgeführt wird. Der Virus verbreitet sich danach automatisch (also ohne Hilfe des Trojaners), sobald eine der infizierten Dateien geöffnet wird. Auf dem infizierten System wird der Trojaner für die Verbreitung des Virus also nicht mehr benötigt. Er hat den Virus lediglich in das System geschleust (anders formuliert: er hat den Virus heimlich installiert).

Es gibt Trojaner die ein zweites, verstecktes Programm in sich selbst beinhalten. Durch den Start des ersten Programms wird so das zweite Programm, welches sich im ersten Programm versteckt hält, unbemerkt mitgestartet. Mithilfe eines entsprechenden Tools lässt sich jedes beliebige Programm zu einem solchen Trojaner machen, ohne dass der Autor des Trojaners programmieren können muss. Dabei wird einfach ein zweites Programm an ein beliebiges Wirtsprogramm geheftet. Bildlich gesehen werden sie vermischt, ohne dass die Funktionalität beider Programme beeinträchtigt wird.

Trojaner die heimlich eine Installationsroutine starten, nennt man „dropper“ (ein Trojaner der etwas ablegt / in das System bringt). Die meisten Trojaner sind dropper-Trojaner. Ihre Aufgabe ist es, eine Malware auf ein System zu installieren, sodass die Schadsoftware von nun an ohne Hilfe des Trojaners ausgeführt wird. Selbst wenn man den Trojaner nun beendet und gar löscht, so läuft das heimlich installierte Schadprogramm ungehindert weiter. Man kann davon ausgehen, dass es durch einen Autostartmechanismus auch nach einem Neustart des Rechners automatisch geladen wird.

Einmal aufgerufen und ein Angreifer kann nun jederzeit auf die Funktionalitäten zugreifen, die ihm das heimlich installierte Schadprogramm ermöglicht. Die Palette reicht von der automatischen Übermittlung der Passworteingaben bis hin zum Fernzugriff auf den Rechner. Entgegen den Aussagen der meisten Fachzeitschriften, greift ein Eindringling also auf das heimlich installierte Programm zu und nicht auf den Trojaner. Der dropper-Trojaner diente lediglich als Hilfsprogramm, welches die Malware (z.B. ein Backdoor, auch „Remote Access Tool“ genannt) heimlich auf dem System installiert hat.

Demgegenüber gibt es auch Trojaner, welche die geheimen Funktionalitäten in sich selbst bergen. Ein solcher Trojaner besteht aus einem einzigen Programm, welches bereits von seinem Entwickler mit geheimen Funktionalitäten versehen wurde. Wird dieser Trojaner also beendet oder gar gelöscht, so stehen dem Angreifer auch die heimlichen Funktionen nicht mehr zur Verfügung.

Ein Beispiel für solche Trojaner bieten zahlreiche „Plugins“. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm. Mit diesem Baustein kann man dem Programm diverse Funktionalitäten hinzufügen. So kann ein als nützliches Browser-Plugin getarntes trojanisches Pferd auf einem Internetbrowser laufen und somit nicht direkt, sondern über den Browser mit dem Internet kommunizieren. Dadurch umgeht er auf einfache Weise sämtliche Firewalls.

Auch ist es möglich, dass ein Trojaner sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein plugin-Trojaner benötigt auch dieser Trojaner ein Programm, um einen Teil seiner geheimen Funktionalitäten durchführen zu können. Allerdings greift er dafür auf die externen Schnittstellen des Programms zurück und nutzt ggf. die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solcher Trojaner mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z.B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Die Firewall merkt auch hier von dem unerlaubten Verbindungsaufbau in der Regel nichts, wenn die Verbindung zum Internet für den Browser erlaubt wurde.

Der Vorteil dieser Methode gegenüber eines plugin-Trojaners ist der, das ein solcher Trojaner von sich aus jederzeit eine Internetverbindung aufbauen kann, während der plugin-Trojaner erst dann aktiv wird, wenn jemand den Internetbrowser gestartet hat.

Tools wie SubSeven & Co. sind so genannte „Remote Access Tools“ (RAT), auch Backdoors genannt, welche in der Regel von dem Angreifer so konfiguriert werden, dass sie sich im System verstecken. Sie täuschen dem Anwender also keine andere Funktionalität vor und fallen daher nicht in die Trojanerdefinition. Das wäre nicht einmal dann der Fall, wenn sie sich nicht verstecken würden. Warum aber werden sie in den Medien fälschlicherweise als „Trojaner“ bezeichnet?

Ende der 1980er suchte man fast zwanghaft nach einem Überbegriff für Hackertools. Der Begriff Trojaner war zu dieser Zeit gerade populär und schien aus Sicht der Medien irgendwie zu passen. Nur wussten die meisten Journalisten offensichtlich nicht genau, was so ein Trojaner eigentlich ist oder macht. Auch heute noch werden solche Fehlinformationen von vielen Autoren einfach übernommen. So hatte sich der Trojaner schnell als Synonym für Hackertools jeglicher Art etabliert. Auf diese Weise wurde auch aus SubSeven & Co. ein falscher „Trojaner“.

Als Folge der Fehlinformation haben selbst die Betreiber vieler renommierter Sicherheitsseiten im Internet zwar die richtige Trojanerdefinition, jedoch auch die falschen Beispiele übernommen. Einige unter ihnen bemerkten den Konflikt und fingen an, die Definition zu ändern. Das hat zur Folge, dass der Begriff „Trojaner“ heute auf verschiedene Weise definiert wird. Die meisten Aussagen, bei denen die Trojanerdefinition nun auch auf SubSeven & Co. passt, sehen wie folgt aus:

„Trojanische Pferde, kurz Trojaner, sind Computerprogramme, welche heimlich einen Zugang zu einem Computer schaffen bzw. die auf dem befallenen Rechner eine Schadensroutine ausführen.“

Allerdings wirft die nachträgliche Änderungen der gebräuchlichen Definition mehr Fragen auf, als sie Klarheit schafft: Wenn SubSeven nun der Trojaner ist, wie klassifiziert man dann das Programm, welches SubSeven heimlich installiert hat? Und wenn ein Trojaner auch als Programm definiert wird, welches auf dem befallenen Rechner heimlich eine Schadensroutine ausführt, so ist wohl jede Malware ein Trojaner? Und andere Programme, die eine heimliche Komponente in sich bergen, welche jedoch keinen unmittelbaren Schaden anrichten, gehören nun nicht mehr zu den Trojanern? Wozu gehören sie dann?

Das sich der Begriff Malware nun auch in den deutschen Fachzeitschriften verfestigt hat, ist hingegen ein großer Fortschritt. Malware ist die Abkürzung für „Malicious Software“, etwa „bösartige oder heimtückische Software“. So steht dieser Begriff stellvertretend für alle Hackertools, Computerviren, Würmer, Dialer, Spyware und Spamer. Zumindest wird nun der Begriff „Trojaner“ dadurch in der Presse langsam wieder relativiert.

Auf dem infizierten PC können durch die Schadroutine schließlich alle Funktionen ausgeführt werden, die der Status des angemeldeten Benutzers zulässt. Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administratorrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt.

Im folgenden sind beispielhaft einige gängige Schadfunktionen aufgelistet, um einen Einblick in die Möglichkeiten der Manipulationen an infizierten Rechnern zu geben:

• Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten umleiten.
• Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern.
• Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
• Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
• Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.

Da Trojanische Pferde auszuführende Programme sind (Executables), müssen sie bei Microsoft Windows eine dementsprechende Dateiendung, beispielsweise .exe, .com, .scr, .bat oder .pif haben. Da z.B. das Betriebssystem Windows dem Benutzer jedoch nach standardmäßiger Konfiguration keine Dateinamenerweiterungen anzeigt, kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schadhafte Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt würde, sondern auch noch das Icon eines Bildes haben könnte und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden wäre. Da vielen Benutzern die Möglichkeit dieser Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.

Nach dem Programmaufruf können sie eine Schadroutine im Hintergrund installieren und dafür sorgen, dass sie beim erneuten Start des Computers automatisch wieder aktiviert werden (Autostart). Oftmals haben die Schadroutinen Dateinamen, die es schwer machen, sie von Systemdateien zu unterscheiden. Sie befinden sich in unübersichtlichen Verzeichnissen, wie z. B. im Systemordner von Windows.

Aus den Charakteristika von Trojanischen Pferden ergibt sich direkt, dass es nur eine Schutzmöglichkeit vor der Infektion durch trojanische Pferde geben kann: Vermeidung der Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.

Wie auch bei Computerviren schützen Antivirenprogramme in der Regel nur vor bekannten Trojanischen Pferden.

Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen und diese unterbinden.

Als theoretisch sinnvolle Bestrebungen zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Platform Alliance (TCPA) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander isolierbar machen will. Es bleibt aber zu bedenken, dass auf Grund des Prinzipes Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzten, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert.