Als Trojanisches Pferd bezeichnet man in der Computersprache schädigende Programme, die als nützliche Programme getarnt sind oder zusammenhängend mit einem nützlichen Programm verbreitet werden, aber tatsächlich auf dem Computer im Verborgenen unerwünschte Aktionen ausführen können.
Umgangssprachlich werden Trojanische Pferde – in Anlehnung an die griechische Mythologie – auch Trojaner (engl. Trojan) genannt. Falsch ist dieses deshalb, weil die Trojaner eigentlich Opfer des Trojanischen Pferdes der Mythologie geworden sind und nicht dessen Urheber waren. Allerdings ist der Ausdruck „Trojaner“ mittlerweile derart verbreitet, dass er weitgehend akzeptiert ist.
Ein Trojanisches Pferd zählt zur Familie schädlicher bzw. unerwünschter Programme, der so genannten Malware, worin auch Computerviren und Rootkits einzuordnen sind. Die Grenze zwischen Backdoors, Rootkits und Trojanischen Pferden ist fließend, umgangssprachlich werden diese Begriffe häufig synonym verwendet.
Charakteristika
Trojanische Pferde sind Schadprogramme (Malware), die auf fremde Computer eingeschleust werden können, um unentdeckt Aktionen auszuführen. Häufig sind diese Trojanischen Pferde als nützliche Programme getarnt – benutzen beispielsweise den Dateinamen einer nützlichen Datei – oder sind mit einem tatsächlich nützlichen Programm verbunden. Der tatsächliche Nutzen der Datei, die ein Trojanisches Pferd enthält, kann beliebiger Art sein.
Durch Ausführen einer solchen Datei wird ein Computer oft mit einem schädlichen Dienst eines Trojanischen Pferdes „infiziert“. Das Trojanische Pferd kann von diesem Zeitpunkt an beliebige Aktionen auf dem infizierten Computer durchführen. Häufig enthalten Trojanische Pferde Spionagefunktionen (z. B. Sniffer oder Routinen, die Tastatureingaben aufzeichnen, sogenannte Keylogger) und Funktionen, die es ermöglichen, einen Computer, unkontrolliert vom Anwender, über ein Netzwerk - z. B. das Internet - fernzusteuern (Backdoors).
Ursprünglich waren Trojanische Pferde nicht dafür vorgesehen, sich selbst zu verbreiten, sondern wurden gezielt gegen einzelne „Opfer“ eingesetzt (z. B. in der Wirtschaftsspionage). Mittlerweile jedoch sind zahlreiche Mischformen der Malware bekannt, die sich wie Computerwürmer selbst verbreiten können, aber auch die Züge von Trojanischen Pferden aufweisen. Diese Entwicklung macht eine klare Unterscheidung schwer.
Tarnung von Trojanischen Pferden
Da Trojanische Pferde auszuführende Programme sind (Executables), müssen sie bei Microsoft Windows eine dementsprechende Dateiendung, beispielsweise .exe, .com, .scr, .bat oder .pif haben. Da z.B. das Betriebssystem Windows dem Benutzer jedoch nach standardmäßiger Konfiguration keine Dateinamenerweiterungen anzeigt, kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schadhafte Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt würde, sondern auch noch das Icon eines Bildes haben könnte und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden wäre. Da vielen Benutzern die Möglichkeit dieser Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.
Schema der Infektion durch ein Trojanisches Pferd
Trojanische Pferde können entweder über Datenträger gezielt auf einen PC übertragen werden oder im Internet, z. B. in Tauschbörsen, versteckt in angebotenen Dateien an beliebige Teilnehmer verteilt werden. Nach dem Programmaufruf installieren sie ihre Schadroutine im Hintergrund und sorgen dafür, dass sie beim erneuten Start des Computers automatisch wieder aktiviert werden (Autostart). Oftmals haben die Schadroutinen Dateinamen, die es schwer machen, sie von Systemdateien zu unterscheiden. Sie befinden sich in unübersichtlichen Verzeichnissen, wie z. B. im Systemordner von Windows. Die Schadroutine ist nach der Installation unabhängig vom ursprünglichen Trojanischen Pferd, das nur als Überträger dient; sie kann daher durch das Löschen der Überträgerdatei nicht entfernt werden. Auf dem infizierten PC können durch die Schadroutine schließlich alle Funktionen ausgeführt werden, die der Status des angemeldeten Benutzers zulässt. Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administratorrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine oder durch einen beliebigen Angreifer über das Netzwerk mittels einer Hintertür (Backdoor), unbegrenzt. Das Trojanische Pferd kann demnach in der Regel selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des infizierten Computers willentlich ausführen könnte.
Im Folgenden sind beispielhaft einige gängige Schadfunktionen aufgelistet, um einen Einblick in die Möglichkeiten der Manipulationen an infizierten Rechnern zu geben:
- Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten umleiten.
- Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern.
- Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
- Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
- Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
Schutzmöglichkeiten
Aus den Charakteristika von Trojanischen Pferden ergibt sich direkt, dass es nur eine Schutzmöglichkeit vor der Infektion durch trojanische Pferde geben kann: Vermeidung der Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.
Wie auch bei Computerviren schützen Antivirenprogramme in der Regel nur vor bekannten Trojanischen Pferden.
Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen und diese unterbinden.
Als theoretisch sinnvolle Bestrebungen zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Platform Alliance (TCPA) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander isolierbar machen will. Es bleibt aber zu bedenken, dass auf Grund des Prinzipes Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzten, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert.
Bekannte Backdoorprogramme
Bekannte Backdoorprogramme, die über Trojanische Pferde verbreitet wurden (deshalb oft auch selber als Trojaner/Trojanische Pferde bezeichnet):