- Trojanisches Pferd (Computerprogramm)
-
Als Trojanisches Pferd (englisch Trojan Horse), auch kurz im EDV-Jargon Trojaner[Anm.] genannt, bezeichnet man ein Computerprogramm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.[1]
Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen.
Inhaltsverzeichnis
Etymologie
Der Name ist metaphorisch vom Trojanischen Pferd der Mythologie abgeleitet. Als etwas Nützliches getarnt, verleitet es die Angegriffenen dazu, von diesen in den geschützten Bereich gebracht zu werden und bezeichnet so vordergründig jede List oder Strategie mit diesem Ziel. Die im Inneren unentdeckt gebliebenen Soldaten verließen schließlich das Trojanische Pferd und erlangten als Angreifer Zugang zur Stadtfestung bzw. zum geschützten System.
[Anm.] Durch die gebräuchliche Kurzform „Trojaner“ wird nach der mythologischen Herkunft des Begriffes die Bedeutung genau genommen verkehrt, da die Griechen die Angreifer waren, welche das Pferd bauten und benutzten, die Trojaner (die Bewohner Trojas) hingegen die Opfer.Charakteristik
Trojanische Pferde sind Programme, die gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können, und dem Anwender nicht genannte Funktionen ausführen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen.
Viele Trojanische Pferde installieren während ihrer Ausführung auf dem Computer heimlich ein Schadprogramm. Diese Schadprogramme laufen dann eigenständig auf dem Computer, was bedeutet, dass sie sich durch Beenden oder Löschen des Trojanerprogramms nicht deaktivieren lassen. So können u. a. eigenständige Spionageprogramme auf den Rechner gelangen (z. B. Sniffer oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte Keylogger). Auch die heimliche Installation eines Backdoorprogramms ist möglich, das es gestattet, den Computer unbemerkt über ein Netzwerk (z. B. das Internet) fernzusteuern.
Trojanische Pferde müssen jedoch nicht notwendigerweise ein Schadprogramm installieren. Jedes Programm, dem eine wichtige Funktionalität hinzugefügt wurde, die mit dem offensichtlichen Teil des Programms in keinem Zusammenhang steht, ist definitionsgemäß ein Trojanisches Pferd, solange die Funktion dem Anwender nicht genannt wird. Deshalb ist es sogar möglich, dass der versteckte Teil des Programms keinen direkten Schaden verursacht.
Arten Trojanischer Pferde
Zahlreiche Trojanische Pferde entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei heftet ein Linker (auch Binder oder Joiner genannt) das zweite Programm an eine beliebige ausführbare Wirtdatei, ohne dass dieser Vorgang einen Einfluss auf die Funktionalität beider Programme hat. Durch den Start des ersten Programms wird so das versteckte zweite Programm unbemerkt mitgestartet. Der Autor des Trojanischen Pferdes kann mithilfe eines entsprechenden Dienstprogrammes jede beliebige ausführbare Datei als Wirtprogramm missbrauchen, ohne Programmierkenntnisse besitzen zu müssen.
Es gibt Trojanische Pferde, die heimlich eine Installationsroutine starten. Diese Trojanerart wird häufig dafür eingesetzt, um unbemerkt Malware auf ein System zu installieren, sobald das Trojanische Pferd ausgeführt wird. Daher nennt man sie „Dropper“ (vom englischen to drop – etwas im System „ablegen“). Ein Autostartmechanismus sorgt in der Regel dafür, dass die Malware auch nach einem Neustart des Rechners automatisch geladen wird. Für den Start der Malware ist das Trojanische Pferd auf diesem System nicht mehr erforderlich.
Demgegenüber gibt es auch Trojanische Pferde, die die geheimen Funktionen in sich selbst bergen. Wird das Trojanische Pferd beendet oder gelöscht, so stehen auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel dafür sind zahlreiche Plugins. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzugefügt werden können. So kann ein als nützliches Browser-Plugin getarntes Trojanisches Pferd auf einem Internetbrowser laufen, um beispielsweise über den Browser mit dem Internet zu kommunizieren, wodurch es auf einfache Weise eine Firewall umginge.
Allgemein ist es auch möglich, dass ein Trojanisches Pferd sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein Plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders. Oft nutzt es dabei die Möglichkeiten des Betriebssystems, das Programm in seiner Arbeit zu beeinflussen. So kann ein solches Trojanisches Pferd den vorhandenen Browser starten und ein unsichtbares Fenster öffnen, darüber eine Internetverbindung aufbauen und so Daten an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde. Der Vorteil dieser Methode gegenüber einem Plugin-Trojaner ist, dass sie selbständig eine Internetverbindung aufbauen kann, also nicht erst, wenn der Internetbrowser vom Anwender gestartet wurde.
Zur Verbreitung von Trojanischen Pferden
Trojanische Pferde können über jeden Weg auf einen Computer gelangen, mit dem Daten auf den Computer gebracht werden. Dies sind insbesondere Datenträger oder Netzwerkverbindungen wie das Internet (z. B. Tauschbörsen, präparierte Webseiten[2] (siehe auch Drive-by-Download), Versand durch E-Mails). Die Verbreitung des Trojanischen Pferdes erfolgt danach durch den Anwender des Computers selbst. Je nach Attraktivität des Scheinprogramms steigt die Wahrscheinlichkeit, dass der Anwender das Programm an weitere Anwender weitergibt.
Für die Verbreitung mittels E-Mails wird meistens ein Computerwurm verwendet, der das Trojanische Pferd transportiert. Der Trojaner selbst wird dadurch, dass er sich augenscheinlich verbreitet, jedoch nicht zu einem Virus. Vielmehr kommen hier zwei Schädlinge in Kombination zum Einsatz: Ein Wurm, der im Anhang das Trojanische Pferd transportiert.
Im Jahr 2006 waren 55,6 Prozent der vom Informationsverbund des Bundes registrierten Schadprogramme Trojanische Pferde, nur 9,9 Prozent hingegen Viren. Schwachstellen in Browsern und Büroanwendungen werden mitunter schon am Tag des Bekanntwerdens ausgenutzt. Moderne Trojaner sind von Virenscannern nur noch schwer erkennbar.[3]
Die Schadroutine
In der Regel wird das Trojanerprogramm auf direktem Weg durch den Anwender eines Computers gestartet, wodurch es die Zugriffsberechtigung erhält, alle Funktionen zu nutzen, auf die auch der angemeldete Benutzer zugreifen darf. Die Schadroutine kann demnach selbstständig oder ferngesteuert alle Aktionen unentdeckt ausführen, die auch der Benutzer des Computers willentlich ausführen könnte (gleiches gilt für Schadprogramme aller Art, die ein Trojanisches Pferd heimlich auf dem Computer installiert). Da zahlreiche Nutzer aus Bequemlichkeit oder Unkenntnis dauerhaft mit Administrationsrechten arbeiten, ist das Spektrum an Manipulationsmöglichkeiten durch die Schadroutine unbegrenzt.
Hier einige typische Schadfunktionen:
- Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mit Hilfe von Sniffern.
- Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches), Dateien kopieren und weiterleiten.
- Fernsteuerung des Rechners von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DoS-Attacken.
- Deaktivierung oder Austausch sicherheitsrelevanter Computerdienste (wie z. B. ein Antivirenprogramm oder eine Personal Firewall).
- Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt.
- Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen.
- Anzeige unerwünschter Werbung oder Umleiten des surfenden Anwenders auf präparierte Webseiten (siehe auch Phishing).
Es ist denkbar, dass der versteckte Programmteil des Trojanisches Pferdes keinen direkten Schaden verursacht. Sendet beispielsweise das Programm ohne Wissen des Anwenders unsensible Daten an den Programmierer, die in keinem Bezug zu dem Programm stehen, und lässt der offensichtliche Teil des Programms keinen Rückschluss auf die versteckte Funktionalität zu, so erfüllt das Programm alle Bedingungen, um als Trojanisches Pferd klassifiziert zu werden, obgleich es keinen direkten Schaden anrichtet. Dagegen kann eine geheime Funktion auch zu einer Schadroutine werden, ohne dass der Entwickler des Programms das beabsichtigt hat. Bezogen auf dieses Beispiel wäre das der Fall, wenn das Programm in einem vom Entwickler nicht vorhergesehenen Umfeld eingesetzt wird. Dort könnte die heimliche Datenübermittlung beispielsweise zum Aufbau einer Internetverbindung führen und so ungefragt Kosten verursachen.
Die Tarnung
Unter Unix werden begehrte Befehle wie ls (Auflisten von Dateien) oder ps (Anzeige der laufenden Prozesse) gerne durch Trojanische Pferde ersetzt. Zum einen fallen sie so lediglich bei einem Vergleich ihrer Checksummen auf, zum anderen erhöht sich dadurch die Wahrscheinlichkeit, dass ein Administrator das Trojanische Pferd startet, wodurch sie die begehrten Zugriffsrechte erlangen, ohne durch manipulierte Dateirechte aufzufallen.
Anders als unter Unix wird bei einem Microsoft-Windows-Betriebssystem ein ausführbares Programm (Executable) nicht an seinen Dateirechten erkannt. Vielmehr legt hier die Endung des Dateinamens fest, ob und wie die Datei ausgeführt wird. Da Trojanische Pferde nur funktionieren können, indem jemand ihren Code startet, sind auch sie gezwungen, eine dementsprechende Dateiendung zu verwenden, wie beispielsweise .exe, .com, .scr, .bat, .cmd, .vbs, .wfs, .jse, .shs, .shb, .lnk oder .pif. In der Standardkonfiguration zeigt das Betriebssystem diese Dateiendungen im Explorer jedoch nicht an. Dadurch kann ein Trojanisches Pferd als Datei beliebiger Art maskiert sein. Viele ausführbare Dateiformate erlauben zusätzlich das Zuordnen von Icons zu einer Datei, so dass eine schädigende Datei „Bild.jpg.exe“ dem Benutzer namentlich nicht nur als „Bild.jpg“ angezeigt wird, sondern auch noch das Icon einer Bilddatei erhalten kann und somit bei der oben genannten Windows-Konfiguration auf den ersten Blick nicht von einer ungefährlichen Bilddatei zu unterscheiden ist.
Eine weitere beliebte Möglichkeit der Maskierung besteht darin, eine Dateiendung mit Hilfe zahlreicher Leerzeichen zu kaschieren. So erscheint eine Datei namens „harmlos.txt<zahlreiche Leerzeichen>Checked By Norton Antivirus.exe“ dem Anwender auf den ersten Blick wie eine Textdatei, wobei der restliche Dateiname von ihm oft nur als Hinweis interpretiert wird. Abhängig von dem Programm, das die Datei anzeigt, kann es auch vorkommen, dass nicht der komplette Dateiname zu sehen ist, wodurch der Anwender die *.exe-Endung der Datei gar nicht erst zu Gesicht bekommt. Da vielen Benutzern die Möglichkeit der Maskierung nicht geläufig ist, werden Trojanische Pferde häufig unbemerkt ausgeführt.
Eine weitere Möglichkeit, ausführbaren Code unter einer „harmlosen“ Dateiendung zu verstecken, bieten Programme, die den Dateityp unabhängig von seiner Endung selbst analysieren und sie entsprechend ihrem tatsächlichen Typ behandeln. Als Beispiel ist es zwar theoretisch nicht möglich, in einer RTF-Datei ausführbaren Makrocode zu hinterlegen, da dieses Dateiformat keine Makros unterstützt. Jedoch wird eine Datei namens „gefährlich.doc“, die man in „harmlos.rtf“ umbenennt, von Office anhand des Dateiinhalts als DOC-Datei erkannt, woraufhin der darin hinterlegte Makrocode trotz der Dateiendung .rtf ausgeführt wird.
Trojanische Pferde, die auf einem Exploit basieren, bilden hier ebenfalls eine Ausnahme. Sie nutzen Programmierfehler oder anderweitige Schwachstellen eines Programms aus, um ihren Code zur Ausführung zu bringen. Abhängig von dem Programm, auf dessen Schwachstelle das Trojanische Pferd basiert, kann es sich in jedem Dateityp verbergen, also auch in Dateien, die normalerweise nicht ausführbar sind. So gibt es beispielsweise Trojanische Pferde, deren Code in einer Grafikdatei hinterlegt wurde. Eine Schwachstelle des jeweiligen Browsers vorausgesetzt, ist es auch möglich eine Internetseite derart zu präparieren, dass ein bloßer Aufruf der Seite zur Ausführung des Trojanercodes führt. Auch bei E-Mail-Programmen, die den HTML-Code einer Nachricht automatisch anzeigen, besteht die Gefahr, dass bösartiger Code bereits beim Lesen der Nachricht zur Ausführung gelangt. Der Trojanercode kann jedoch nur dann gestartet werden, wenn die belastete Datei tatsächlich mit dem Programm geöffnet wird, für das das Trojanische Pferd bestimmt ist.
Oftmals verwenden Trojanische Pferde auch Dateinamen, die es schwer machen, sie von wichtigen Systemdateien zu unterscheiden. Dazu legen sie sich meistens in unübersichtliche Verzeichnisse, wie z. B. im Systemordner von Windows. Werden sie über einen Autostarteintrag der Registry geladen, nutzen sie gerne auch Verschleierungstechniken wie diesen Eintrag: „c:\windows\system32\userinit.exe \\localhost\IPC$ -n“. Bei einer Überprüfung aller Autostarteinträge wird eine mögliche Recherche im Internet ergeben, dass userinit.exe ein regulärer Bestandteil des Betriebssystems ist. Und die Überprüfung der Datei wird dem Anwender bestätigen, dass es sich um das Original handelt (sogar mit möglichem Zertifikat). Auch „\\localhost\IPC$“ ist eine reguläre, vom System erstellte Standardfreigabe für interne Zwecke. Alles scheint in Ordnung zu sein, bis auf die Tatsache, dass hier nicht „c:\windows\system32\userinit.exe“ geladen wird, sondern „IPC$ -n.exe“, welche im Verzeichnis „c:\windows\system32\userinit.exe \localhost\“ liegt (wobei unter den aktuellen Versionen von Windows das vermeintliche Leerzeichen vor „ \localhost\“ tatsächlich ein Sonderzeichen sein muss, welches sich mit Alt+255 erzeugen lässt). Zusätzlich zu abweichenden Speicherorten einer Datei kann auch die Schreibweise des Dateinamens vom „Original“ abweichen, so soll etwa der Dateiname scvhost.exe an die Datei svchost.exe erinnern.
Abgrenzung zum Computervirus
Im Unterschied zu einem Computervirus fehlt dem Trojanischen Pferd die Eigenschaft, sich selbständig zu verbreiten. Wird ein Dateivirus aufgerufen, so reproduziert er sich, indem er sich in fremde Dateien einschleust. Eine durch einen Virus infizierte Datei besteht somit aus zwei Komponenten: Aus der Wirtsdatei (einem beliebigen Programm) und dem dort angehängten Virus.
Dadurch, dass das Wirtprogramm infiziert wurde, enthält es also eine versteckte Komponente, die nämlich beim Programmstart unbemerkt den Virus in das System lädt. Damit erfüllt die Wirtsdatei (nicht jedoch der Virus) alle Bedingungen, um auch als Trojanisches Pferd klassifiziert zu werden. Genau genommen ist somit jede durch einen Virus infizierte Datei ein Trojanisches Pferd. Die Virusdefinition hingegen umschließt lediglich den sich vermehrenden Virencode und seine Schadroutine, nicht jedoch die infizierte Datei, welche den Virus beherbergt.
Diese exakte Unterscheidung wird in der Fachwelt selten vorgenommen. Ein zu klassifizierendes Programm bezeichnet man dort in der Regel erst dann als Trojanisches Pferd, wenn es nicht zufällig durch einen Virus, sondern gezielt durch seinen Entwickler oder mit Hilfe eines Tools um eine böswillige Komponente erweitert wurde. Damit wird der Sprachgebrauch jedoch nur zum Teil der parallel verbreiteten Definition gerecht.
Das Trojanische Pferd als Mittel zur Verbreitung von Viren
Wenn der Programmierer des heimlichen Programmteils es vorgesehen hat, können Trojanische Pferde auch für die Verbreitung von Viren eingesetzt werden. So könnte ein als Spiel getarntes Trojanerprogramm mithilfe der Schadroutine z. B. Makroviren an Officedateien hängen, während das Spiel ausgeführt wird. Auf dem infizierten System würde das Trojanische Pferd nicht mehr benötigt, da sich der Virus nun automatisch verbreiten kann, sobald eine der infizierten Dateien geöffnet wird. Das Trojanische Pferd hat den Virus lediglich in das System geschleust.
Programme mit verknüpfter Trojaner- und Virenfunktionalität
Schwer fällt die Unterscheidung zwischen Trojanischem Pferd und Virus, wenn beispielsweise die Schadroutine neben seiner sonstigen Funktion das Trojanische Pferd kopiert. Auf diese Weise kann es unbemerkt auf andere Datenträger gelangen. Dadurch, dass der eigene Programmcode heimlich reproduziert wird, erfüllt das Programm alle Bedingungen, um auch als Virus klassifiziert zu werden. Daher handelt es sich bei einer solchen Datei um ein Trojanisches Pferd und um einen Virus vereint in einem Programm.
Abgrenzung zum Oberbegriff für Backdoors und Rootkits
Mitunter wird auch die durch ein Trojanisches Pferd heimlich installierte Malware als „Trojanisches Pferd“ bezeichnet. Bezogen auf den assoziativen Ursprung des Begriffs aus der griechischen Mythologie wäre laut dieser These nicht der zur Tarnung dienende Holzrahmen das Trojanische Pferd, sondern auch die darin versteckten Soldaten.
Als Beispiel könnte ein Trojanisches Pferd heimlich ein Backdoor-Programm installieren. Ein Eindringling greift nun auf das installierte Programm zu, und nicht auf das Trojanische Pferd, was in diesem Fall lediglich als Hilfsprogramm für die heimliche Installation fungierte. Es kann danach jederzeit gelöscht werden, ohne dass dies einen Einfluss auf die weitere Funktion des Backdoor-Programms hat. Solche Hilfsprogramme sind definitionsgemäß Trojanische Pferde, weil sie sich als nützliche Anwendung ausgeben (z. B. als ein Spiel oder ein Bildschirmschoner) aber dabei dem Anwender nicht genannte Funktionen ausführen, die in keinem Zusammenhang mit dem offensichtlichen Teil des Programms stehen (hier die heimliche Installation des Backdoors).
Die Mehrheit der als „verbreitet“ bezeichneten Trojanischen Pferde installieren oder beinhalten zwar Backdoorprogramme oder Rootkits, müssen diese jedoch nicht notwendigerweise enthalten. Es gibt verschiedene weitere Programme, die als Trojaner bezeichnet werden (z. B. solche, deren Schadroutine Anwenderdaten versendet).
Historischer Abriss
Knapp drei Jahre nachdem Daniel Edwards 1972 ein von ihm als „Trojan horse“ betiteltes theoretisches Konzept vorgestellt hatte, um eine besondere Rechnersicherheitsbedrohung zu charakterisieren,[4] bewahrheitete sich seine Hypothese. Das Spiel „Pervading Animal“ aus dem Jahr 1975 wurde für die Univac 1108 geschrieben und wird als das erste bekannte Trojanische Pferd bezeichnet. Die Spielregeln sahen vor, dass der Spieler an ein Tier denken musste, welches das Programm durch gezielte Fragen zu erraten versuchte. Konnte das Tier noch nicht ermittelt werden, so aktualisierte das Programm sich selbst und stellte eine neue Frage, wobei jedes Mal die alte Version des Programms durch die aktualisierte Version überschrieben wurde. Zusätzlich kopierte sich das Programm aber heimlich auch in andere Verzeichnisse, sodass nach einer gewissen Zeit das komplette System mit Kopien dieses Programms vollgeschrieben wurde. Die Frage, ob es sich hierbei um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelte, ist bis heute unbeantwortet geblieben.
In seinem Buch At the Abyss („Am Abgrund“) beschreibt Thomas C. Reed, früherer Sekretär der United States Air Force, einen Trojaner, der durch die Vereinigten Staaten heimlich industrieller Steuerungssoftware beigefügt wurde, die in die Sowjetunion geliefert wurde. Nach der Installation der Anlage an der Transsibirischen Gasleitung im Juni 1982 kam es zur Fehlfunktion, die eine große Explosion verursachte. Dies dürfte der erste Fall sein, wo ein Trojaner als Waffe in kybernetischen Kriegsführung im Rahmen des kalten Krieges eingesetzt wurde.[5]
1984 stellte der Computer-Pionier Ken Thompson während seiner Turing-Award-Rede ein klassisches Beispiel eines Trojanischen Pferdes vor, das sicherheitstechnisch bedenklich und darüber hinaus schwer aufzuspüren wäre.[6] Die Rede war von einem Login-Programm für UNIX, das derart verändert wird, dass es zusätzlich zum normalen Passwort auch ein Generalpasswort akzeptiert. Diese Hintertür könne, so Thompson, ein entsprechend manipulierter C-Compiler beim Übersetzen des Login-Programms automatisch hinzufügen, wodurch der Quelltext des Login-Programms keinen Hinweis auf eine Manipulation liefert. Wenn der Compiler des C-Compilers entsprechend präpariert würde, wäre die Manipulation nicht einmal mehr aus dem Quellcode des C-Compilers ersichtlich.
Im Dezember 1989 erschien das erste Trojanische Pferd, das seine Opfer erpressen sollte, womit es weltweite Aufmerksamkeit auf sich zog. Dr. Joseph W. Popp, ein damals 39 Jahre alter Wissenschaftler aus Cleveland bei Ohio, verschickte 20.000 belastete Disketten mit der Aufschrift „AIDS Information Introductory Diskette“ an Adressen in Europa, Afrika, Asien und der WHO. Sein Trojaner versteckte nach einiger Zeit sämtliche Verzeichnisse, verschlüsselte die Dateinamen und hinterließ auf dem Rechner eine Aufforderung, für die Wiederherstellung 378 US-Dollar an eine fiktive „PC Cyborg Corporation“ auf ein existierendes Postfach in Panama zu schicken. Obwohl der Täter in England für unzurechnungsfähig erklärt wurde, hat ihn ein italienisches Gericht in Abwesenheit zu zwei Jahren Haft verurteilt.
Im August 2000 erschien das erste bekannte Trojanische Pferd für PDAs. Der unter den Namen „Liberty Crack“ getaufte Schädling wurde von Aaron Ardiri, dem Co-Entwickler des gleichnamigen Palm Game Boy Emulators, entwickelt. Er tarnt sich als Crack für den Emulator, löscht heimlich die installierte Software und initialisiert wichtige Einstellungen des Palms. Als das Trojanische Pferd außer Kontrolle geriet, half Ardiri die Verbreitung einzudämmen.
Im Oktober 2005 machte der renommierte Systemspezialist Mark Russinovich die Entdeckung, dass sich heimlich ein Rootkit auf seinem System installierte, als er eine kurz zuvor gekaufte Musik-CD von SONY BMG auf seinem Computer abspielte. Dank einer parallel laufenden Systemanalyse entdeckte er so per Zufall das erste Trojanische Pferd, das über legal erworbene Musik-CDs den Weg auf den Rechner fand. Der bewusst von SONY BMG in Umlauf gebrachte „XCP“-Trojaner war Teil einer sehr aggressiven Kopierschutzkampagne. Die heimlich installierte Malware sammelt Informationen über den Benutzer und schickt diese über das Internet an den Konzern. Zudem schafft sie neue Sicherheitslöcher und bremst aufgrund einer Designschwäche das System auch dann aus, wenn keine CD abgespielt wird. Bereits zwei Wochen nach dieser Entdeckung erschien „Ryknos“, das erste Trojanische Pferd, das sich der Sicherheitslücken von „XCP“ bediente und ein Backdoor-Programm auf den befallenen Rechnern installierte.
Spätestens seit dem Jahr 2006 entwickelt das Bundeskriminalamt ein im Netzjargon „Bundestrojaner“ genanntes Programm zum Ausspähen von Daten zum Zwecke der Strafverfolgung.
Schutzmöglichkeiten
Den einzig wirkungsvollen Schutz vor Trojanischen Pferden bietet der Verzicht auf die Benutzung von Programmen aus unbekannten oder unsicheren Quellen. Als besonders gefährlich einzustufen sind hierbei, wie bei jeder Malware, Anbieter von Programmen bzw. Dienstleistungen am Rande der Legalität.
Viele Antivirenprogramme erkennen neben Computerviren auch weitere Malware, darunter eine Vielzahl bekannter Trojanischer Pferde. Ihre Erkennungsrate erhebt jedoch keinen Anspruch auf Vollständigkeit. Wird ein Trojanisches Pferd erkannt, bevor der Anwender es startet, ist der Schutzmechanismus recht wirkungsvoll, wohingegen bereits ausgeführte Trojanische Pferde von der Antivirensoftware nur bedingt zuverlässig aus dem System entfernt werden können. Gleiches gilt für die Schadsoftware, welche eventuell durch ein Trojanisches Pferd installiert wurde. Auch gelingt es zahlreichen Trojanischen Pferden, die Antivirensoftware zu deaktivieren oder das System derart zu manipulieren, dass sie von der Software nicht mehr entdeckt werden.
Personal Firewalls oder andere Programme zur Netzwerküberwachung bieten keinen Schutz vor der Installation eines Trojanischen Pferdes, können unter Umständen aber nach einer Infektion auf unautorisierte Netzwerkkommunikation aufmerksam machen. Einige Personal Firewalls bieten als zusätzlichen Schutz auch eine Überwachung der Autostarteinträge des Systems, was dem Anwender einen Hinweis auf eine Trojanerinstallation liefert, wenngleich auch die Firewallsoftware von zahlreichen Trojanischen Pferden deaktiviert und nicht selten überlistet werden kann.
Als neuen Weg zum Schutz gegen Trojanische Pferde und Computerviren allgemein kann man die Bestrebungen der Trusted Computing Group (TCG) ansehen, die das Ausführen von ungeprüfter, d. h. nicht vertrauenswürdiger Software, technisch unterbindbar machen will bzw. die Funktionsaufrufe geprüfter und ungeprüfter Software voneinander zu isolieren versucht. Es bleibt aber zu bedenken, dass auf Grund des Prinzips Trojanischer Pferde, das menschliche Vertrauen oder die Unerfahrenheit auszunutzen, man auch auf diese technische Weise nur das bei der Installation von Software aufgebrachte Vertrauen auf eine andere Instanz verlagert.
Wird ein bereits installiertes Trojanisches Pferd erkannt, so ist es ratsam, die Bereinigung des Systems über die Einspielung des letzten „sauberen“ Abbildes der Festplatte (Image) vorzunehmen, da ein Softwareprodukt (z. B. Virenscanner) diese Aufgabe nur bedingt zuverlässig erledigen kann.
Es gibt eine Testdatei, bekannt unter dem Namen EICAR, die man herunterladen kann um festzustellen, wie detailreich ein Antivirenprogramm prüft. Dabei kann man die Datei als .exe, .txt, .zip und als .zip in einer .zip -Datei verpackt finden. Der Code dieses Testvirus lautet: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* wobei der durch „$“-zeichen abgegrenzter Teil nur Kommentar, der Rest Anzeichen von Schadcode ist.
Siehe auch
Weblinks
Einzelnachweise
- ↑ Lexikon IT-Wissen: „Unter einem Trojaner, auch als trojanischen Pferd bezeichnet, versteht man ein Programm, das neben seiner eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist…“
- ↑ heise.de: Sophos: 30.000 neu infizierte Webseiten pro Tag. „[…] Damit soll die Verbreitung von Trojanern über Webseiten mittlerweile zur häufigsten Angriffsmethode finanziell motivierter Cyberkrimineller gehören.“
- ↑ spiegel.de: BSI-SICHERHEITSKONGRESS: Computer immer stärker bedroht
- ↑ Computer Security Technology Planning Study, 1972, Seite 62
- ↑ John Markloff: On the Brink Of Cyberwarfare, The New York Times, 11. Oktober 2010
- ↑ Ken Thompson: Reflections on Trusting Trust, Communications of the ACM, August 1984
Wikimedia Foundation.