„Trojanisches Pferd (Computerprogramm)“ – Versionsunterschied

Als Trojanisches Pferd bezeichnet man ein Programm, welches als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine ganz andere Funktion erfüllt.

Umgangssprachlich werden Trojanische Pferde auch Trojaner (engl. Trojan) genannt. Falsch ist dieses deshalb, weil die Trojaner eigentlich die Opfer des Trojanischen Pferdes der Mythologie geworden sind, dessen Urheber waren hingegen die Griechen. Allerdings ist der Ausdruck „Trojaner“ mittlerweile derart verbreitet, dass er weitgehend akzeptiert ist.

Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors, Rootkits und Ähnliches gebraucht, ist davon aber klar abzugrenzen.

Trojanische Pferde sind Programme, die auf fremde Computer eingeschleust werden (oder zufällig dorthin gelangen) und schließlich - vom Anwender unbemerkt - diesem nicht genannte Aktionen ausführen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen.

Die heimliche Funktion eines Trojaners kann auch darin bestehen, ein weiteres Schadprogramm auf dem PC zu installieren, welches dann unabhängig vom Trojaner meist versteckt auf dem PC arbeitet. Der tatsächliche Nutzen einer Datei, die ein Trojanisches Pferd enthält, kann beliebiger Art sein. Auf diese Weise können u.a. eigenständige Spionagefunktionen auf den Rechner gelangen (z. B. Sniffer oder Routinen, die Tastatureingaben aufzeichnen, sogenannte Keylogger). Auch Backdoor-Funktionen, die es ermöglichen, einen Computer unkontrolliert vom Anwender über ein Netzwerk (z.B. dem Internet) fernzusteuern, sind möglich. Durch das Löschen des Trojanerprogramms werden die heimlich installierten Schadprogramme nicht automatisch mit entfernt. Entgegen dem, was in den Medien häufig zu lesen ist, gehört ein solches Schadprogramm nicht zwangsläufig zu den Trojanern, nur weil es durch einen Trojaner installiert wurde: Nur wenn es (gemäß der Trojanerdefinition) eine andere Funktionalität vortäuscht, wird auch ein durch einen Trojaner installiertes Schadprogramm als Trojaner klassifiziert.

Trojanische Pferde können entweder über Datenträger gezielt auf Computer übertragen werden oder im Internet, z. B. in Tauschbörsen, an beliebige Teilnehmer verteilt werden. Trojaner werden also oft durch den Anwender eines Computers selbst verbreitet. Je nach Bedeutsamkeit des Scheinprogramms steigt die Wahrscheinlichkeit, dass der Anwender das Programm an weitere Anwender weitergibt.

Ein alternativer Weg, wie Trojaner verbreitet werden, ist der Versand im Anhang von eMails. Dafür wird meistens ein Computerwurm verwendet, der den Trojaner transportiert. Der Trojaner selbst wird dadurch, dass er sich augenscheinlich verbreitet, jedoch nicht zu einem Virus. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm, welcher im Anhang den Trojaner transportiert.

Auf einem PC, auf dem ein trojanisches Pferd ausgeführt wurde, können durch eine eventuell installierte Schadroutine alle Funktionen ausgeführt werden, die der Status des angemeldeten Benutzers zulässt. Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administratorrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine oder durch einen beliebigen Angreifer über das Netzwerk mittels einer Hintertür (Backdoor) unbegrenzt. Die Schadroutine kann demnach in der Regel selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des infizierten Computers willentlich ausführen könnte.

Im Folgenden sind beispielhaft einige gängige Schadfunktionen aufgelistet, um einen Einblick in die Möglichkeiten der Manipulationen an infizierten Rechnern zu geben:

• Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten umleiten.
• Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern.
• Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
• Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
• Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.

Allerdings muss ein Trojaner nicht zwangläufig über eine Schadroutine verfügen. Sendet beispielsweise das Programm ohne Wissen des Anwenders unsensible statistische Daten an den Programmierer und lässt der offensichtliche Teil des Programms keinen Rückschluss auf die versteckte Funktionalität zu, so erfüllt das Programm alle Bedingungen, um auch als Trojaner klassifiziert zu werden, obgleich die versteckte Routine keinen Schaden anrichtet. Zudem kann die geheime Funktion zu einer Schadroutine werden, ohne dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf dieses Beispiel wäre das der Fall, wenn die Routine eine Internetverbindung aufbaut und dabei kosten verursacht oder die Netzwerkanbindung dadurch spürbar verlangsamt wird.

Da Trojanische Pferde auszuführende Programme sind (Executables), müssen sie bei Microsoft Windows eine dementsprechende Dateiendung, beispielsweise .exe, .com, .scr, .bat oder .pif haben. Da z.B. das Betriebssystem Windows dem Benutzer jedoch nach standardmäßiger Konfiguration keine Dateinamenerweiterungen anzeigt, kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schädigende Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt würde, sondern auch noch das Icon eines Bildes haben könnte und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden wäre. Da vielen Benutzern die Möglichkeit dieser Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.

Oftmals haben die Schadroutinen von Trojanischen Pferden Dateinamen, die es schwer machen, sie von Systemdateien zu unterscheiden. Sie befinden sich in unübersichtlichen Verzeichnissen, wie z. B. im Systemordner von Windows.

Zahlreiche Trojaner entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei wird das zweite Programm an eine beliebige ausführbare Wirtsdatei geheftet, ohne dass die Funktionalität beider Programme beeinträchtigt wird. Durch den Start des ersten Programms wird so das zweite Programm, welches im ersten Programm versteckt ist, unbemerkt mitgestartet. Mithilfe eines entsprechenden Tools lässt sich jede beliebige ausführbare Datei zu einem solchen Trojaner machen, ohne dass der Autor des Trojaners Programmierkenntnisse besitzen muss.

Trojaner, die heimlich eine Installationsroutine starten, nennt man „dropper“ (vom englischen "to drop" - ein Trojaner der etwas in das System ablegt). Die meisten Trojaner sind dropper-Trojaner. Ihre Aufgabe ist es, eine Malware auf ein System zu installieren, sodass die Schadroutine von diesem Zeitpunkt an ohne Hilfe des Trojaners ausgeführt wird. Selbst wenn den Trojaner danach beendet oder gar gelöscht wird, so läuft die heimlich installierte Schadroutine ungehindert weiter. Man kann davon ausgehen, dass sie durch einen Autostartmechanismus auch nach einem Neustart des Rechners automatisch geladen wird.

Wurde der Trojaner auch nur einmal aufgerufen, kann ein Angreifer nun jederzeit auf die Funktionen zugreifen, die ihm das heimlich installierte Schadprogramm ermöglicht. Im Widerspruch zu den Aussagen einiger Fachzeitschriften greift ein Eindringling also in der Regel auf die heimlich installierte Schadroutine zu, und nicht auf den Trojaner. Der dropper-Trojaner diente lediglich als Hilfsprogramm, welches die Malware (z.B. ein Backdoor, auch „Remote Access Tool“ genannt) heimlich auf dem System installiert hat.

Demgegenüber gibt es auch Trojaner, welche die geheimen Funktionen in sich selbst bergen. Ein solcher Trojaner besteht aus einem einzigen Programm, welches bereits von seinem Entwickler mit geheimen Funktionen versehen wurde. Wird dieser Trojaner also beendet oder gar gelöscht, so stehen dem Angreifer auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel für solche Trojaner sind zahlreiche „Plugins“. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzufügt werden. So kann ein als nützliches Browser-Plugin getarntes trojanisches Pferd auf einem Internetbrowser laufen und beispielsweise über den Browser mit dem Internet kommunizieren, wodurch es auf einfache Weise eine Firewall umgeht.

Allgemein ist es möglich, dass ein Trojaner sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders, um einen Teil seiner geheimen Funktionen durchführen zu können. Oft nutzt er dabei auch die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solcher Trojaner mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z.B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde.

Der Vorteil dieser Methode gegenüber eines plugin-Trojaners ist der, das ein solcher Trojaner von sich aus jederzeit eine Internetverbindung aufbauen kann, während der plugin-Trojaner erst dann aktiv wird, wenn jemand den Internetbrowser mit dem installierten Plugin gestartet hat.

Ein Trojaner selbst ist kein Virus, da ihm die Eigenschaft fehlt, sich eigenständig zu verbreiten. Wenn man die Definition eines Trojaners näher betrachtet, so wird klar, dass der Trojaner immer nur der Wirt ist, welcher eine geheime Komponente in sich birgt. Genau genommen ist somit jede durch einen Virus infizierte Datei ein Trojaner. Der Wirt, also die infizierte Datei selbst, vermehrt sich nicht. Nur der ihr angehängte Virus heftet sich an andere Dateien.

Eine infizierte Datei kann ein harmloses Programm sein, doch dadurch, dass sie mit einem Virus infiziert wird, verliert es seine Harmlosigkeit. Bei einem Start dieses Programms wird nun auch unbemerkt der Virus in das System gebracht. Dadurch erfüllt das Programm (der Wirt, nicht jedoch der Virus) alle Bedingungen, um auch als Trojaner klassifiziert zu werden.

Diese genaue Unterscheidung wird in der Fachwelt jedoch selten vorgenommen. Ein Programm wird dort in der Regel erst dann als Trojaner bezeichnet, wenn es nicht zufällig durch einen Virus, sondern gezielt, z.B. mit Hilfe eines Tools, um eine böswillige Komponente erweitert wurde (dropper-Trojaner). Als Trojaner bezeichnet man zudem ein Programm, welches von vornherein so entwickelt wurde, dass es eine geheime Komponente in sich birgt (z.B. plugin-Trojaner).

Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat, können Trojaner durchaus auch für die Verbreitung von Viren zuständig sein. So könnte ein als Spiel getarnter Trojaner mithilfe der Schadroutine Makroviren an Office-Dateien hängen, während das Spiel ausgeführt wird. Der Virus verbreitete sich danach automatisch (also ohne Hilfe des Trojaners), sobald eine der infizierten Dateien geöffnet würde. Auf dem infizierten System wird der Trojaner für die Verbreitung des Virus also nicht mehr benötigt. Er hat den Virus lediglich in das System geschleust.

Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde für die Univac 1108 geschrieben und wird als der erste bekannten Trojaner bezeichnet. Die Spielregeln waren einfach: Der Spieler musste an ein Tier denken und das Programm stellte Fragen, um so das Tier zu erraten. Konnte das Tier noch nicht identifiziert werden, so aktualisierte das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal die alte Version des Programms durch die aktualisierte Version überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das komplette System mit Kopien dieses Programms voll geschrieben wurde. Ob es sich hierbei um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelt, konnte nicht geklärt werden.

Programme wie NetBus & Co. sind so genannte „Remote Access Tools“ (RAT), auch Backdoors genannt, welche in der Regel von dem Angreifer so konfiguriert werden, dass sie sich im System verstecken. Sie täuschen dem Anwender also keine andere Funktionalität vor und fallen daher nicht in die Trojanerdefinition. Das wäre nicht einmal dann der Fall, wenn sie sich nicht verstecken würden. Warum aber werden sie in den Medien fälschlicherweise als „Trojaner“ bezeichnet?

Ende der 1980er Jahre suchte man fast zwanghaft nach einem Überbegriff für Hackertools. Der Begriff Trojaner war zu dieser Zeit gerade populär und schien aus Sicht der Medien zu passen. Nur wussten die meisten Journalisten nicht genau, was ein Trojaner ist oder macht. Auch heute noch werden daraus entstandene Fehlinformationen von vielen Autoren einfach übernommen. So hatte sich der Trojaner schnell als Synonym für Hackertools jeglicher Art etabliert. Auf diese Weise wurde auch aus NetBus & Co. ein falscher „Trojaner“.

Als Folge der Fehlinformation haben selbst die Betreiber vieler renommierter Sicherheitsseiten im Internet zwar die richtige Trojanerdefinition, allerdings auch die falschen Beispiele übernommen. Einige unter ihnen bemerkten den Konflikt und fingen an, die Definition zu ändern. Das hat zur Folge, dass der Begriff „Trojaner“ heute auf verschiedene Weise definiert wird. Die meisten Aussagen, bei denen die Trojanerdefinition nun auch auf NetBus & Co. passt, sehen wie folgt aus:

„Trojanische Pferde, kurz Trojaner, sind Computerprogramme, welche heimlich einen Zugang zu einem Computer schaffen bzw. die auf dem befallenen Rechner eine Schadensroutine ausführen.“

Allerdings wirft die nachträgliche Änderungen der gebräuchlichen Definition mehr Fragen auf, als sie Klarheit schafft: Wenn NetBus nun der Trojaner ist, wie klassifiziert man dann das Programm, welches NetBus heimlich installiert hat? Und wenn ein Trojaner auch als Programm definiert wird, welches auf dem befallenen Rechner heimlich eine Schadensroutine ausführt, so ist wohl jede Malware ein Trojaner? Und andere Programme, die eine heimliche Komponente in sich bergen, welche jedoch keinen unmittelbaren Schaden anrichten, gehören nun nicht mehr zu den Trojanern? Wozu gehören sie dann?

Dass sich der Begriff Malware nun auch in den deutschen Fachzeitschriften verfestigt hat, ist hingegen ein großer Fortschritt. Malware ist die Abkürzung für „Malicious Software“, etwa „bösartige oder heimtückische Software“. So steht dieser Begriff stellvertretend für alle Hackertools, Computerviren, Würmer, Dialer und Spyware. Zumindest wird nun der Begriff „Trojaner“ dadurch in der Presse langsam wieder relativiert.

Aus den Charakteristika von Trojanischen Pferden ergibt sich direkt, dass es nur eine Schutzmöglichkeit vor der Infektion durch trojanische Pferde geben kann: Vermeidung der Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.

Wie auch bei Computerviren schützen Antivirenprogramme in der Regel nur vor bekannten Trojanischen Pferden.

Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen und diese unterbinden.

Als theoretisch sinnvolle Bestrebungen zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Platform Alliance (TCPA) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander isolierbar machen will. Es bleibt aber zu bedenken, dass auf Grund des Prinzipes Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzen, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert.