„Trojanisches Pferd (Computerprogramm)“ – Versionsunterschied
| [ungesichtete Version] | [ungesichtete Version] |
Nerdi (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
|||
| Zeile 5: | Zeile 5: | ||
Ein Trojanisches Pferd zählt zur Familie schädlicher bzw. unerwünschter Programme, der so genannten [[Malware]], worin auch [[Computervirus|Computerviren]] einzuordnen sind. |
Ein Trojanisches Pferd zählt zur Familie schädlicher bzw. unerwünschter Programme, der so genannten [[Malware]], worin auch [[Computervirus|Computerviren]] einzuordnen sind. |
||
== |
== Charakteristika == |
||
Ein Programm hat eine nützliche und gewünschte Eigenschaft, oder täuscht vor, eine solche Funktion zu bieten. Im Verborgenen führt ein Trojanisches Pferd allerdings andere, unerwünschte Funktionen aus. Die nützlichen oder versprochenen nützlichen Funktionen dienen allein der Tarnung jener unerwünschten Funktionen. Welcher Art die unerwünschten Funktionen sind, ist nicht Teil der Definition "Trojanisches Pferd". Sie können jeder denkbaren Art sein. |
|||
Trojanische Pferde sind schadhafte Programme ([[Malware]]), die auf fremde Computer eingeschleust werden, um unentdeckt Aktionen auszuführen. Häufig sind diese Trojanischen Pferde als nützliche Programme getarnt - benutzen beispielsweise den [[Dateiname]]n einer nützlichen Datei - oder sind mit einem tatsächlich nützlichen Programm verbunden. Der tatsächliche Nutzen der Datei, die ein Trojanisches Pferd enthält, kann beliebiger Art sein. |
|||
In der Praxis auftretende Trojanischen Pferde enthalten allerdings oft Spionagefunktionen (z.B. [[Sniffer]]) oder Funktionen, die es ermöglichen einen Computer, unkontrolliert vom Anwender, via Netzwerk/Internet fernzusteuern ([[Backdoor|Backdoors]]). Da Trojanische Pferde meistens gerade mit diesen Schadfunktionen auftreten, entsteht häufig das Missverständnis, solche Schadfunktionen seien einem Trojanischen Pferd gleichzusetzen. |
|||
Da Trojanische Pferde auszuführende Programme sind (Executables), müssen sie bei [[Microsoft Windows]] eine dementsprechende Dateiendung, beispielsweise .exe, .com, .scr, .bat, oder .pif haben. Da Windows dem Benutzer jedoch nach standardmäßiger Konfiguration keine Dateinamenerweiterungen anzeigt, kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das zuordnen von [[Icon_(Computer)|Icons]] zu einer Datei, sodass eine schadhafte Datei '''"Bild.jpg.exe"'' dem Benutzer namentlich nicht nur als "Bild.jpg" angezeigt würde, sondern auch noch das Icon eines Bildes haben könnte, und somit bei der o.g. Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden wäre. Da vielen Benutzern nicht geläufig ist, dass das Icon einer Datei nicht zwingend die Art der Datei angibt, sondern nur der letzte Teil der Dateinamensendung maßgebend ist (Bild.jpg ist ein Bild, Bild.jpg.exe ist ein Programm), werden Trojanische Pferde häufig unbemerkt ausgeführt. |
|||
Der wesentliche Unterschied zu Computerviren und [[Computerwurm|Computerwürmern]] ist: Ein Trojanisches Pferd ist softwaretechnisch ein normales Computerprogramm und besitzt nicht die Fähigkeit, sich ''selbständig'' weiterzuverbreiten. Ursprünglich waren Trojanische Pferde auch nicht dazu vorgesehen, sich zu verbreiten. Sie dienten dazu, Menschen zu täuschen, um Aktionen zu veranlassen, die diese freiwillig nicht getan hätten. Trojanische Pferde neurerer Zeit tragen manchmal auch Funktionen und Strategien in sich, die ihre Verbreitung gewährleisten sollen. Dies rückt sie in die Nähe der Computerviren und Computerwürmer, solche Mischformen sind schwerer einzusortieren in die übliche Kategorien. |
|||
Durch Ausführen einer solchen Datei wird der Computer mit dem schädlichen Dienst des Trojanischen Pferdes "infiziert". Das Trojanische Pferd kann von diesem Zeitpunkt an beliebige Aktionen auf dem infizierten Computer durchführen. |
|||
Im einfachsten Fall handelt es sich bei einem Trojanischen Pferd um ein [[Computerprogramm]], das etwas anderes tut, als seine Beschreibung verspricht. Manchmal hat es gar keine einsatzfähige Nutzfunktion und täuscht vor, durch einen Fehler abzustürzen, aber in der Regel ist es ein scheinbar harmloses Programm, z.B. ein simples [[Computerspiel]], das jedoch unbemerkt im Hintergrund andere Programme installiert. |
|||
In der Regel enthalten Trojanische Pferde häufig Spionagefunktionen (z.B. [[Sniffer]] oder Routinen, die Tastatureingaben aufzeichnen) und Funktionen, die es ermöglichen einen Computer, unkontrolliert vom Anwender, über ein Netzwerk oder das Internet fernzusteuern ([[Backdoor|Backdoors]]). |
|||
Eine Verwandtschaft zum Trojanischen Pferd besitzt die sogenannte [[Spyware]], welche gezielt auf kommerzielle Interessen ausgelegt ist. |
|||
Ursprünglich waren Trojanische Pferde nicht dafür vorgesehen, sich selbst zu verbreiten, sondern wurden gezielt gegen einzelne "Opfer" eingesetzt (z.B. in der [[Wirtschaftsspionage]]). |
|||
== Gefahren in der Praxis == |
|||
Mittlerweile jedoch sind zahlreiche Mischformen der Malware bekannt, die sich wie [[Computerwurm|Computerwürmer]] selbst verbreiten können, aber auch die Züge von Trojanischen Pferden aufweisen. Diese Entwicklung macht eine klare Unterscheidung schwer. |
|||
Gängige Trojanische Pferde installieren ihre Schadroutine nach dem Programmstart im Hintergrund und sorgen dafür, dass sie beim erneuten Start des Computers automatisch wieder aktiviert werden. Sie stehen nun permanent zur Verfügung, jene unerwünschten Funktionen auszuführen, für die sie geschaffen wurden. An dieser Stelle kommt das Starten eines Trojanischen Pferdes einer Virusinfektion gleich. Wurde ein Trojanisches Pferd einmal ausgeführt, kann man meist die durchgeführten Veränderungen im System nicht mehr dadurch rückgängig machen, indem man das Ursprungsprogramm, das Trojanische Pferd selbst, löscht, da dieses nur als Überträger fungierte. |
|||
== Schema der Infektion durch ein Trojanisches Pferd == |
|||
Beim Spektrum an Möglichkeiten, was das Trojanische Pferd ausführen kann, sind der Fantasie keine Grenzen gesetzt. Da das Trojanische Pferd grundsätzlich ein normales Computerprogramm ist, können die Sicherheitsmechanismen eines Computers (z.B. Benutzer- und Rechtverwaltung des Betriebssystems) nur schwer unterscheiden ob die ausgeführten Aktionen vom Benutzer gewollt sind oder nicht. Was der Benutzer willentlich veranlassen kann, kann auch das Trojanische Pferd ohne den Willen der Benutzers ausführen (z.B. Installation von Kommunikationssoftware). |
|||
Trojanische Pferde können entweder über [[Speichermedium|Datenträger]] gezielt auf einen [[Personal Computer|PC]] übertragen werden, oder im Internet, z.B. in [[Tauschbörse]]n, versteckt in angebotenen Dateien an beliebige Teilnehmer verteilt werden. |
|||
Die folgenden Beispiele sind gängige Schadfunktionen und haben keinen Anspruch auf Vollständigkeit. Die Entwicklung schreitet fort, permanent werden neue Trojanische Pferde entwickelt und entdeckt. |
|||
Nach dem Programmaufruf installieren sie ihre Schadroutine im Hintergrund und sorgen dafür, dass sie beim erneuten Start des Computers automatisch wieder aktiviert werden (Autostart). Oftmals haben die Schadroutinen Dateinamen, die es schwer machen sie von Systemdateien zu unterscheiden, und befinden sich in unübersichtlichen Verzeichnissen, wie z.B. im Systemordner von Windows. Die Schadroutine ist nach der Installation unabhängig vom ursprünglichen Trojanischen Pferd, das nur als Überträger dient, und kann daher durch das Löschen der Überträgerdatei nicht entfernt werden. Auf dem infizierten PC können durch die Schadroutine schließlich alle Funktionen ausgeführt werden, die der Status des angemeldeten Benutzers zulässt. Da die meisten Nutzer von Windows-PCs aus Bequemlichkeit dauerhaft mit Administratorrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine, oder durch einen beliebigen Angreifer über das Netzwerk mittels einer [[Hintertür ]](Backdoor), unbegrenzt. Das Trojanische Pferd kann demnach in der Regel selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des infizierten Computers willentlich ausführen könnte. |
|||
Im folgenden sind beispielhaft gängige Schadfunktionen aufgelistet, um einen Einblick in die Möglichkeiten der Manipulationen an infizierten Rechnern zu geben (Kein Anspruch auf Vollständigkeit): |
|||
* Unerwünscht Werbungen aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte [[Website]]s umleiten. |
* Unerwünscht Werbungen aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte [[Website]]s umleiten. |
||
Version vom 7. September 2005, 18:42 Uhr
Als Trojanisches Pferd bezeichnet man in der Computersprache schadhafte Programme, die als nützliche Programme getarnt sind oder zusammenhängend mit einem nützlichen Programm verbreitet werden, aber tatsächlich auf dem Computer im Verborgenen unerwünschte Aktionen ausführen können.
Umgangssprachlich werden Trojanische Pferde fälschlicherweise auch Trojaner (engl. Trojan) genannt. Fälschlich ist dieses deshalb, weil die Trojaner die Opfer des Trojanischen Pferdes der Mythologie geworden sind, und nicht dessen Urheber waren. Allerdings ist der Ausdruck "Trojaner" mittlerweile derart verbreitet, dass er weitgehend akzeptiert ist.
Ein Trojanisches Pferd zählt zur Familie schädlicher bzw. unerwünschter Programme, der so genannten Malware, worin auch Computerviren einzuordnen sind.
Charakteristika
Trojanische Pferde sind schadhafte Programme (Malware), die auf fremde Computer eingeschleust werden, um unentdeckt Aktionen auszuführen. Häufig sind diese Trojanischen Pferde als nützliche Programme getarnt - benutzen beispielsweise den Dateinamen einer nützlichen Datei - oder sind mit einem tatsächlich nützlichen Programm verbunden. Der tatsächliche Nutzen der Datei, die ein Trojanisches Pferd enthält, kann beliebiger Art sein.
Da Trojanische Pferde auszuführende Programme sind (Executables), müssen sie bei Microsoft Windows eine dementsprechende Dateiendung, beispielsweise .exe, .com, .scr, .bat, oder .pif haben. Da Windows dem Benutzer jedoch nach standardmäßiger Konfiguration keine Dateinamenerweiterungen anzeigt, kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das zuordnen von Icons zu einer Datei, sodass eine schadhafte Datei '"Bild.jpg.exe" dem Benutzer namentlich nicht nur als "Bild.jpg" angezeigt würde, sondern auch noch das Icon eines Bildes haben könnte, und somit bei der o.g. Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden wäre. Da vielen Benutzern nicht geläufig ist, dass das Icon einer Datei nicht zwingend die Art der Datei angibt, sondern nur der letzte Teil der Dateinamensendung maßgebend ist (Bild.jpg ist ein Bild, Bild.jpg.exe ist ein Programm), werden Trojanische Pferde häufig unbemerkt ausgeführt.
Durch Ausführen einer solchen Datei wird der Computer mit dem schädlichen Dienst des Trojanischen Pferdes "infiziert". Das Trojanische Pferd kann von diesem Zeitpunkt an beliebige Aktionen auf dem infizierten Computer durchführen.
In der Regel enthalten Trojanische Pferde häufig Spionagefunktionen (z.B. Sniffer oder Routinen, die Tastatureingaben aufzeichnen) und Funktionen, die es ermöglichen einen Computer, unkontrolliert vom Anwender, über ein Netzwerk oder das Internet fernzusteuern (Backdoors).
Ursprünglich waren Trojanische Pferde nicht dafür vorgesehen, sich selbst zu verbreiten, sondern wurden gezielt gegen einzelne "Opfer" eingesetzt (z.B. in der Wirtschaftsspionage). Mittlerweile jedoch sind zahlreiche Mischformen der Malware bekannt, die sich wie Computerwürmer selbst verbreiten können, aber auch die Züge von Trojanischen Pferden aufweisen. Diese Entwicklung macht eine klare Unterscheidung schwer.
Schema der Infektion durch ein Trojanisches Pferd
Trojanische Pferde können entweder über Datenträger gezielt auf einen PC übertragen werden, oder im Internet, z.B. in Tauschbörsen, versteckt in angebotenen Dateien an beliebige Teilnehmer verteilt werden. Nach dem Programmaufruf installieren sie ihre Schadroutine im Hintergrund und sorgen dafür, dass sie beim erneuten Start des Computers automatisch wieder aktiviert werden (Autostart). Oftmals haben die Schadroutinen Dateinamen, die es schwer machen sie von Systemdateien zu unterscheiden, und befinden sich in unübersichtlichen Verzeichnissen, wie z.B. im Systemordner von Windows. Die Schadroutine ist nach der Installation unabhängig vom ursprünglichen Trojanischen Pferd, das nur als Überträger dient, und kann daher durch das Löschen der Überträgerdatei nicht entfernt werden. Auf dem infizierten PC können durch die Schadroutine schließlich alle Funktionen ausgeführt werden, die der Status des angemeldeten Benutzers zulässt. Da die meisten Nutzer von Windows-PCs aus Bequemlichkeit dauerhaft mit Administratorrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine, oder durch einen beliebigen Angreifer über das Netzwerk mittels einer Hintertür (Backdoor), unbegrenzt. Das Trojanische Pferd kann demnach in der Regel selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des infizierten Computers willentlich ausführen könnte.
Im folgenden sind beispielhaft gängige Schadfunktionen aufgelistet, um einen Einblick in die Möglichkeiten der Manipulationen an infizierten Rechnern zu geben (Kein Anspruch auf Vollständigkeit):
- Unerwünscht Werbungen aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Websites umleiten.
- So genannte Sniffer, Überwachung des Datenverkehrs.
- Es können sensible Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches) ausgespäht, Dateien kopiert und weitergeleitet werden.
- Alle Aktivitäten am Computer können überwacht werden.
- Hintertüren, so genannte Backdoors, öffnen, durch die es Angreifern aus dem Internet möglich ist, den betroffenen Computer fernzusteuern, weitere Programme zu installieren oder Daten auszuspähen. Da diese Computer unter „Fremdeinfluss“ stehen werden sie gelegentlich auch Zombies genannt.
- Auch könnte der Computer von Unbekannten via Internet für kriminelle Zwecke missbraucht werden. Eine gängige Anwendung ist es, den kompromittierten Computer als Verteiler für den massenhaften Versand von Werbe-E-Mail (Spam) zu missbrauchen. Es existieren ganze Netzwerke kompromittierter Computer, welche vermietet werden.
- Missbrauch des Computers für Denial of Service-Attacken gegen Serversysteme Dritter (Zusammenbruch von Serversystemen durch Überlastung).
- Massenhafter Versand von E-Mails mit Anhängen des Trojanischen Pferdes selbst (Eigenstrategie zur Weiterverbreitung) was ihnen Eigenschaften von Computerviren verleiht (selbständige unkontrollierte Weiterverbreitung). Man spricht auch von "Würmern" (bekanntes Beispiel: "I love you")
- Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern) was dem Opfer finanziellen Schaden zufügt.
Schutzmöglichkeiten
Am besten schützt man sich vor Trojanischen Pferden, indem man keine Programme aus unbekannten oder unsicheren Quellen ausführt. Besonders gefährlich sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande oder jenseits der Legalität.
Viele Trojanische Pferde versenden Kopien von sich selbständig per E-Mail. Der Text der E-Mail ist stets so gestaltet, den Empfänger dazu zu verleiten, den Anhang zu öffnen, wodurch die Infektion ausgelöst wird. Der Schutz gegen diese Verbreitungsform ist simpel: Keine E-Mail-Anhänge mit unverlangt zugesandten Dateien öffnen! Auch der Absender einer bekannten Person ist keine Gewährleistung der Echtheit. Die Absenderadresse derartiger E-Mails ist meist gefälscht. Ebenso können auch bekannte Absender Opfer eines Trojanischen Pferdes geworden sein.
Wie auch bei Viren schützen Antivirenprogramme in der Regel nur vor bekannten Trojanischen Pferden.
Personal Firewalls bieten keinen Schutz vor den Installationsmechanismen von Trojanischer Pferde. Nachdem eine Infektion eingetreten ist, kann man durch solch eine Firewall auf unautorisierte Netzwerkkommunikation aufmerksam werden. Geeignete Firewalleinstellungen können die Kommunikation des Trojanischen Pferdes auch ganz unterbinden. Dies kann aber nur eine kurzfristige Lösung sein.
Als theoretischen Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Platform Alliance (TCPA) sehen, die das Ausführen von ungeprüfter (= nicht vertrauenswürdiger) Software unterbinden sollen bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander isolieren wollen. Neben den allgemeinen Problemen dieses Ansatzes, der eigentlich durch das Ziel eines verbesserten Urheberrechtsschutzes motiviert ist (vgl. Digital Rights Management), bleibt zu bedenken, dass man so nur das stets notwendige Vertrauen bei der Installation von Software (und die eigene Verantwortung) auf eine andere Instanz verlagert.
