Trojanisches Pferd (Computerprogramm)

Trojanische Pferde sind Programme, die auf fremde Computer eingeschleust werden (oder zufällig dorthin gelangen) und schließlich - vom Anwender unbemerkt - diesem nicht genannte Aktionen ausführen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen. Auch besteht die Möglichkeit, dass ein Entwickler sein Programm zu einem Trojaner macht, ohne dass er sich dessen bewusst ist. Denn fügt er dem Programm eine Funktionalität hinzu, die mit dem offensichtlichen Teil des Programms nichts zu tun hat und dem Anwender nicht benannt wird, so handelt es sich bei dem Programm definitionsgemäß um einen Trojaner. Dies gilt selbst dann, wenn dieser Teil des Programms keinen Schaden verursacht.

Die heimliche Funktion eines (dropper-) Trojaners kann auch darin bestehen, ein Schadprogramm auf dem PC zu installieren, welches infolgedessen unabhängig vom Trojaner meist versteckt auf dem PC arbeitet. Der tatsächliche Nutzen einer Datei, die ein Trojanisches Pferd enthält, kann beliebiger Art sein. So können u.a. eigenständige Spionageprogramme auf den Rechner gelangen (z. B. Sniffer oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte Keylogger). Auch ermöglicht ein solcher Trojaner die heimliche Installation eines Backdoorprogramms, welches es gestattet, den Computer über ein Netzwerk (z.B. dem Internet) fernzusteuern, ohne dass der Anwender dies kontrollieren kann. Durch das Löschen des Trojanerprogramms werden die heimlich installierten Schadprogramme nicht automatisch mit entfernt.

Entgegen dem, was in den Medien häufig zu lesen ist, gehört das heimlich installierte Schadprogramm nicht zur Familie der Trojaner, nur weil es durch einen Trojaner installiert wurde: Gemäß der Definition muss es dem Anwender eine andere Funktionalität vortäuschen, um selbst als Trojaner klassifiziert werden zu können.

Trojanische Pferde können entweder über Datenträger gezielt auf Computer gelangen oder im Internet, z. B. in Tauschbörsen, an beliebige Teilnehmer verteilt werden. Die Verbreitung des Trojaners erfolgt somit oft durch den Anwender eines Computers selbst. Je nach Bedeutsamkeit des Scheinprogramms steigt auch die Wahrscheinlichkeit, dass der Anwender das Programm an weitere Anwender weitergibt.

Ein alternativer Weg, wie Trojaner verbreitet werden, ist der Versand im Anhang von E-Mails. Dafür wird meistens ein Computerwurm verwendet, der den Trojaner transportiert. Der Trojaner selbst wird dadurch, dass er sich augenscheinlich verbreitet, jedoch nicht zu einem Virus. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Der Wurm, welcher im Anhang den Trojaner transportiert.

Auf einem Rechner, auf dem ein trojanisches Pferd ausgeführt wird, können durch dieses alle Funktionen genutzt werden, die der Status des angemeldeten Benutzers zulässt. Da zahlreiche Nutzer aus Bequemlichkeit oder aufgrund fehlender Kenntnis der Risiken dauerhaft mit Administratorrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt. Die Schadroutine kann demnach in der Regel selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des Computers willentlich ausführen könnte. Gleiches gilt auch für die Schadprogramme, welche durch einen (dropper-) Trojaner heimlich installiert werden.

Um einen Einblick in die Möglichkeiten der Manipulationen an betroffenen Rechnern zu geben, sind im Folgenden beispielhaft einige gängige Schadfunktionen aufgelistet:

• Unerwünschte Werbung aus dem Internet einblenden oder den Anwender ungewollt auf bestimmte Webseiten umleiten.
• Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern.
• Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
• Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken.
• Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
• Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen.

Ein Trojaner muss allerdings nicht zwangsläufig über eine Schadroutine verfügen. Sendet beispielsweise das Programm ohne Wissen des Anwenders unsensible statistische Daten an den Programmierer, die in keinem direkten Bezug zu dem Programm stehen, und lässt der offensichtliche Teil des Programms keinen Rückschluss auf die versteckte Funktionalität zu, so erfüllt das Programm alle Bedingungen, um auch als Trojaner klassifiziert zu werden, obgleich es keinen Schaden anrichtet.

Zudem kann eine geheime Funktion zu einer Schadroutine werden, ohne dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf dieses Beispiel wäre das der Fall, wenn das Programm in einem vom Entwickler nicht vorhergesehenen Umfeld eingesetzt wird. Dort könnte die heimliche Datenübermittlung beispielsweise zum Aufbau einer Internetverbindung führen und so ungefragt Kosten verursachen.

Unter Unix ersetzen Trojaner oft einen begehrten Befehl wie ls (Auflisten von Dateien) oder ps (Anzeige der laufenden Prozesse). Zum einen fallen sie so lediglich bei einem Vergleich ihrer Checksummen auf, zum anderen erhöht sich dadurch die Wahrscheinlichkeit, dass ein Administrator den Trojaner startet, wodurch sie die begehrten Zugriffsrechte erlangen, ohne durch manipulierte Dateirechte aufzufallen.

Anders als unter Unix wird bei einem Microsoft Windows Betriebssystem ein ausführbares Programm (Executable) nicht an seinen Dateirechten erkannt. Vielmehr legt hier die Endung des Dateinamens fest, ob und wie die Datei ausgeführt wird. Da Trojanische Pferde nur funktionieren können, indem jemand ihren Code startet, sind auch sie gezwungen, eine dementsprechende Dateiendung zu verwenden, wie beispielsweise .exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif, etc. In der Standardkonfiguration zeigt das Betriebssystem diese Dateiendungen im Explorer jedoch nicht an. Dadurch kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schädigende Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt wird, sondern auch noch das Icon einer Bilddatei erhalten kann und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden ist. Da vielen Benutzern die Möglichkeit dieser Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.

Oftmals verwenden Trojanische Pferde auch Dateinamen, die es schwer machen, sie von wichtigen Systemdateien zu unterscheiden. Dazu legen sie sich meistens in unübersichtliche Verzeichnisse, wie z. B. im Systemordner von Windows. Werden sie über einen Autostarteintrag in der Registry geladen, nutzen sie gerne auch Verschleierungstechniken wie diesen Eintrag: „c:\windows\system32\userinit.exe \\localhost\IPC$ -n“. Bei einer Überprüfung aller Autostarteinträge wird eine mögliche Recherche im Internet ergeben, das userinit.exe ein regulärer Bestandteil des Betriebssystems ist. Und die Überprüfung der Datei wird dem Anwender bestätigen, dass es sich um das Original handelt (sogar mit möglichem Zertifikat). Auch „\\localhost\IPC$“ ist eine reguläre, vom System erstellte Standardfeigabe für interne Zwecke. Alles scheint in Ordnung zu sein, bis auf die Tatsache, dass hier nicht „c:\windows\system32\userinit.exe“ geladen wird, sondern „IPC$ -n.exe“, welche im Verzeichnis „c:\windows\system32\userinit.exe \localhost\“ liegt (wobei unter den aktuellen Versionen von Windows das vermeintliche Leerzeichen vor „ \localhost\“ tatsächlich ein Sonderzeichen sein muss, welches sich mit Alt+255 erzeugen lässt).

Zahlreiche Trojaner entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei wird das zweite Programm an eine beliebige ausführbare Wirtsdatei geheftet, ohne dass die Funktionalität beider Programme beeinträchtigt wird. Durch den Start des ersten Programms wird so das zweite Programm, welches im ersten Programm versteckt ist, unbemerkt mitgestartet. Mithilfe eines entsprechenden Tools lässt sich jede beliebige ausführbare Datei zu einem solchen Trojaner machen, ohne dass der Autor des Trojaners Programmierkenntnisse besitzen muss.

Trojaner, die heimlich eine Installationsroutine starten, nennt man „dropper“ (vom englischen to drop „ablegen“ - ein Trojaner der etwas in das System ablegt). Die meisten Trojaner sind solche dropper-Trojaner. Ihre Aufgabe ist es, eine Malware auf ein System zu installieren, sodass sie von diesem Zeitpunkt an ohne Hilfe des Trojaners ausgeführt wird. Selbst wenn den Trojaner danach beendet oder gar gelöscht wird, so läuft das heimlich installierte Schadprogramm ungehindert weiter. Man kann davon ausgehen, dass sie durch einen Autostartmechanismus auch nach einem Neustart des Rechners automatisch geladen wird.

Wurde also der Trojaner auch nur einmal kurzzeitig aufgerufen, kann ein Angreifer nun jederzeit auf die Funktionen zugreifen, die ihm das heimlich installierte Programm ermöglicht. Im Widerspruch zu den Aussagen einiger Fachzeitschriften greift ein Eindringling also in der Regel auf eben dieses Programm zu, und nicht auf den Trojaner. Der dropper-Trojaner diente lediglich als Hilfsprogramm, welches die Malware (z.B. ein Backdoor, auch „Remote Access Tool“ genannt) heimlich auf dem System installiert hat.

Demgegenüber gibt es auch Trojaner, welche die geheimen Funktionen in sich selbst bergen. Ein solcher Trojaner besteht aus einem einzigen Programm, welches bereits von seinem Entwickler mit geheimen Funktionen versehen wurde. Wird dieser Trojaner also beendet oder gar gelöscht, so stehen dem Angreifer auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel für solche Trojaner sind zahlreiche „Plugins“. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzufügt werden. So kann ein als nützliches Browser-Plugin getarntes trojanisches Pferd auf einem Internetbrowser laufen und beispielsweise über den Browser mit dem Internet kommunizieren, wodurch es auf einfache Weise eine Firewall umgeht.

Allgemein ist es möglich, dass ein Trojaner sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders, um einen Teil seiner geheimen Funktionen durchführen zu können. Oft nutzt er dabei auch die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solcher Trojaner mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z.B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde.

Der Vorteil dieser Methode gegenüber eines plugin-Trojaners ist der, das ein solcher Trojaner von sich aus jederzeit eine Internetverbindung aufbauen kann, während der plugin-Trojaner erst dann aktiv wird, wenn jemand den Internetbrowser mit dem installierten Plugin gestartet hat.

Ein Trojaner selbst ist kein Virus, da ihm die Eigenschaft fehlt, sich eigenständig zu verbreiten. Eine infizierte Datei kann z.B. ein harmloses Programm sein, doch dadurch, dass sie mit einem Virus infiziert wird, verliert dieses seine Harmlosigkeit; denn beim Start wird nun auch unbemerkt der Virus in das System geladen. Dadurch erfüllt das Programm (der Wirt, nicht jedoch der Virus) alle Bedingungen, um auch als Trojaner klassifiziert zu werden. Genau genommen wird also jede durch einen Virus infizierte Datei zu einem Trojaner.

Diese genaue Unterscheidung wird in der Fachwelt jedoch selten vorgenommen. Ein zu klassifizierendes Programm wird dort in der Regel erst dann als Trojaner bezeichnet, wenn es nicht zufällig durch einen Virus, sondern gezielt, z.B. mit Hilfe eines Tools, um eine böswillige Komponente erweitert wurde (dropper-Trojaner). Damit wird die Vorgehensweise jedoch nur zum Teil der Definition gerecht.

Ebenfalls schwer fällt die Unterscheidung zwischen Trojaner und Virus, wenn die Schadroutine den Trojaner heimlich kopiert. Auf diese Weise kann er unbemerkt auf andere Datenträger gelangen. Durch das automatische Vervielfältigen des eigenen Programmcodes erfüllt der Trojaner alle Bedingungen, um auch als Virus klassifiziert zu werden. Da sich das Programm dabei aber nicht an andere Dateien heftet, sondern neue erstellt, ist eine genaue Trennung der beiden Begriffe hier nicht möglich.

Ein Trojaner wird per Definition nicht zu einem Virus, wenn er sich umkopiert, ebenso muss die Virusdefinition aufgrund einer solchen Möglichkeit nicht um mögliche Trojanereigenschaften erweitert werden. Es hat sich hier lediglich ein Entwickler beider Techniken bedient. Es handelt sich bei einer solchen Datei schlicht um einen Trojaner und einen Virus gleichzeitig.

Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat, können Trojaner durchaus auch für die Verbreitung von Viren zuständig sein. So könnte ein als Spiel getarnter Trojaner mithilfe der Schadroutine Viren an verscheidene Dateien hängen, während das Spiel ausgeführt wird. Der Virus würde sich danach automatisch verbreiten (also ohne Hilfe des Trojaners), sobald eine der infizierten Dateien geöffnet würde. Auf dem infizierten System würde der Trojaner für die Verbreitung des Virus also nicht mehr benötigt. Er hat den Virus lediglich in das System geschleust.

Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde für die Univac 1108 geschrieben und wird als der erste bekannte Trojaner bezeichnet. Die Spielregeln sahen vor, dass der Spieler an ein Tier denken musste, welches das Programm durch gezielte Fragen zu erraten versuchte. Konnte das Tier noch nicht ermittelt werden, so aktualisierte das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal die alte Version des Programms durch die aktualisierte Version überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das komplette System mit Kopien dieses Programms voll geschrieben wurde. Die Frage, ob es sich hierbei um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelte, ist bis heute unbeantwortet geblieben.

Häufig wird in den Medien irrtümlich davon ausgegangen, der (dropper-) Trojaner sei das zu installierende Päckchen und nicht das Programm, welches geholfen hat, das Päckchen heimlich zu installieren. Bezogen auf den assoziativen Ursprung des Begriffs aus der griechischen Mythologie, wäre demnach nicht der zur Tarnung dienende Holzrahmen das Trojanische Pferd, sondern die darin versteckten Soldaten. Das folgende Beispiel soll verdeutlichen, warum dies falsch ist und worin der Unterschied zwischen beiden Komponenten besteht.

Viele Backdoorprogramme, wie z.B. NetBus & Co, werden mit Hilfe eines Tools an ein beliebiges Programm geheftet. Bildlich gesehen bilden sie ein Päckchen, welches sich in einem Paket - dem Wirtprogramm - versteckt hält. Das Wirtprogramm könnte beispielsweise ein Computerspiel sein. Ruft jemand das Spiel auf, so öffnet er automatisch auch das dort hinterlegte Päckchen. Auf diese Weise wird zu dem bewusst ausgeführten Spiel unbemerkt auch das zweite, darin versteckte Programm gestartet, welches sich in der Regel heimlich auf dem Computer installiert.

Betrachtet man das Spiel, so wird klar, dass es sich als nützliche Anwendung tarnt, im Hintergrund aber eine ganz anderer Funktion erfüllt: Es schleust ein in sich selbst verstecktes Programm auf den Computer ein und startet es heimlich. Das Spiel ist deshalb definitionsgemäß ein Trojaner. Der Trojaner kann nach seinem Start jederzeit beendet und sogar gelöscht werden, ohne dass das heimlich installierte Programm in seiner Arbeit beeinflusst wird.

Das heimlich installierte Programm wird hingegen nicht automatisch dadurch zu einem Trojaner, weil es durch einen Trojaner heimlich installiert wurde. Um das zu verstehen, ist es zunächst hilfreich, wenn man sich vorstellt, dass mithilfe des Spiels kein Backdoor, sondern ein simpler Texteditor heimlich auf dem System installiert wurde: Laut Definition bezeichnet man ein Programm als Trojaner, „welches als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine ganz andere Funktion erfüllt“. Als Beispiel kann der Trojaner den Anmeldevorgang des Rechners ersetzen, die eingegebenen Passworte in eine Datei schreiben und die Daten dann an den tatsächlichen Anmeldeprozess durchreichen. Er gibt sich gegenüber dem Anwender also als Anmeldedialog aus, zeichnet im Hintergrund jedoch heimlich die Passworte mit. Im Unterschied dazu gibt der Texteditor nicht vor, etwas anderes zu tun, und ist deshalb auch kein Trojaner.

Der Unterschied zwischen dem Texteditor und einem Backdoor ist der, dass man statt Text zu editieren mit Hilfe des Backdoorprogramms, meist über ein Netzwerk, auf den Rechner zugreifen kann. Genau wie der Texteditor fällt das Backdoorprogramm jedoch nicht unter die Trojanerdefinition, solange es keine andere Funktionalität vortäuscht. Das gilt auch dann, wenn sich das entsprechende Programm im System versteckt.

Tatsächlich verfügen die wenigsten aktuellen Trojaner über eine eigene Backdoorfunktionalität, was nicht damit zu verwechseln ist, dass sie oftmals dafür verwendet werden, ein Backdoorprogramm heimlich zu installieren.

Dessen ungeachtet werden Programme wie NetBus & Co. in den Medien fälschlicherweise als „Trojaner“ bezeichnet. Der Grund dafür ist in den späten 1980er Jahren zu finden, in denen fast zwanghaft nach einem Überbegriff für Hackertools gesucht wurde. Der Begriff Trojaner war zu dieser Zeit gerade populär und schien aus Sicht der Medien zu passen. Nur wussten die meisten Journalisten nicht genau, was ein Trojaner ist oder macht. Auch heute noch werden daraus entstandene Fehlinformationen von vielen Autoren einfach übernommen. So hatte sich der Begriff „Trojaner“ schnell als Synonym für Hackertools jeglicher Art etabliert, die auf dem befallenen Rechner eine Hintertür öffnen oder anderweitigen Schaden anrichten. All das vollkommen ungeachtet einer definitionsgemäß vorgetäuschten Funktionalität. Auf diese Weise wurde auch aus NetBus & Co. ein falscher „Trojaner“.

Als Folge der Fehlinformation haben selbst die Betreiber vieler renommierter Sicherheitsseiten im Internet zwar die richtige Trojanerdefinition, allerdings auch die falschen Beispiele übernommen. Einige unter ihnen bemerkten den Konflikt und fingen an, die Definition zu ändern. Das hat zur Folge, dass der Begriff „Trojaner“ heute auf verschiedene Weise definiert wird, wobei jedoch keine der modifizierten Definitionen eine verwendbare Lösung für das Problem darstellt. Vielmehr wurden dadurch neue Probleme geschaffen, die das Verständnis um diese Materie erheblich erschweren.

Die meisten Aussagen, bei denen die Trojanerdefinition nun auch auf NetBus & Co. passt, sehen wie folgt aus: „Trojaner sind Computerprogramme, welche heimlich einen Zugang zu einem Computer schaffen bzw. die auf dem befallenen Rechner eine Schadensroutine ausführen.“ Folgt man dieser Definition, so passt der Begriff „Trojaner“ nun zwar als Oberbegriff für alle Backdoors und somit auch auf NetBus & Co, jedoch wird dadurch auch der Begriff „Malware“ überflüssig, da nun sämtliche Malware als Trojaner klassifiziert werden kann. Und dass vollkommen unabhängig davon, ob das Programm eine anderer Funktionalität vortäuscht, oder nicht. Auch wird es dadurch schwierig, die heimlich installierte Malware von dem Programm zu unterscheiden, welches die Malware heimlich installiert hat. Zudem können so keine Programme mehr als Trojaner klassifiziert werden, die zwar eine andere Funktionalität vorgeben, jedoch auf dem befallenen Rechner keinen Schaden anrichten. Schlussendlich fehlt der Fachwelt dadurch ein wichtiger Begriff, der alle Programme klassifiziert, die dem Anwender eine andere Funktionalität vortäuschen.

Dass sich der Begriff „Malware“ nun auch in den deutschen Medien verfestigt hat, ist daher ein großer Fortschritt. Malware ist die Abkürzung für „Malicious Software“, etwa „bösartige oder heimtückische Software“. So steht dieser Begriff stellvertretend für alle Hackertools, Computerviren, Würmer, Dialer und Spyware. Zumindest wird die zweckentfremdete Verwendung des Begriffs „Trojaner“ in den Medien dadurch langsam rückläufig.

Aus den Charakteristika von Trojanischen Pferden ergibt sich direkt, dass es nur eine Schutzmöglichkeit vor der Infektion durch trojanische Pferde geben kann: Vermeidung der Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.

Wie auch bei Computerviren schützen Antivirenprogramme in der Regel nur vor bekannten Trojanischen Pferden.

Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen und diese unterbinden.

Als neuen Weg zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Platform Alliance (TCPA) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander zu isolieren versucht. Es bleibt aber zu bedenken, dass auf Grund des Prinzips Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzen, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert.