Dipl.-Inform. Carsten Eilers

Trojaner – Der Feind im harmlosen Programm

Geschrieben von Carsten Eilers am

Weiter geht unsere Reise durch die Welt der Schadsoftware. Das Thema dieser
und der nächsten Folge: Trojaner bzw. trojanische Pferde –
Schadsoftware, die sich als mehr oder weniger nützliches Programm
tarnt.

Ein Trojaner – was ist das?

Ein Trojaner ist ein (evtl. nur angeblich) nützliches Programm, dass
zusätzlich undokumentierte Schadfunktionen enthält, die i.A. ohne
Wissen des Benutzers, immer aber ohne dessen Zustimmung ausgeführt
werden.

Trojaner, die eigentlich Griechen wären

Trojaner ist die Verkürzung des ursprünglichen Begriffs “Trojanisches
Pferd”, der auf das bekannte Trojanische Pferd
aus der griechischen Mythologie
zurückzuführen ist. Rein formal müsste man die Trojaner
also eigentlich Griechen nennen, da die ja im Trojanischen Pferd steckten.
Die Trojaner der Mythologie waren damals sozusagen die Benutzer, die das
angeblich nützliche Trojanische Pferd in ihre Stadt zogen, wo dann die
Griechen mit ihren schädlichen Aktionen begannen.

Würde man es ganz genau nehmen, könnte man das gesamte Programm
als trojanisches Pferd bezeichnen, und die Schadfunktionen als Griechen.


Das ist verwirrend? Dann vergessen Sie es einfach und merken sich nur, dass
in der IT Trojaner das gleiche wie trojanische Pferde sind und Programme
mit versteckten Schadfunktionen bezeichnen.

Arten von Trojanern

Es gibt viele Arten von Trojanern:

  • Reine Schadprogramme, die sich nur durch den Dateinamen eines
    harmlosen Programms tarnen

  • Schadprogramme, die vorgeblich nützliche Funktionen erfüllen, diese
    aber gar nicht (das Programm stürzt angeblich ab oder zeigt keinerlei
    Funktion, hat dann aber den Schadcode bereits ausgeführt) oder nur zur
    Tarnung ausführen

  • Normale Programme, die zusätzlich undokumentierte Funktionen enthalten
    (das müssen nicht zwangsweise Schadfunktionen sein, definitionsgemäß ist
    jedes Programm, dass vor dem Anwender verborgene Funktionen enthält, ein
    Trojaner)

  • Kombinierte Programme, die aus einem beliebigen Programm und
    einem damit verknüpften Schadprogramm bestehen (auf diese Weise wird
    oft
    Spyware
    verbreitet)

  • Andere Dateien, die tatsächlich ein Programm sind (ein
    aktuelles
    Beispiel sind erstmals im
    September 2010
    gesichtete
    angebliche
    neue Sicherheitszertifikate
    für Smartphones, die tatsächlich
    Programme
    sind, die mTANS ausspähen sollen)

  • Plugins oder allgemein Erweiterungen für andere Programme (besonders
    beliebt sind dabei Browser-Plugins, da die völlig unauffällig mit den
    Servern der Cyberkriminellen kommunizieren können – welche Firewall hält
    schon den Netzwerkverkehr des Browsers auf?)

Spezialfall “transitive Trojanische Pferde”

Ein Spezialfall sind
“transitive Trojanische Pferde”:
Statt direkt das Ziel anzugreifen, schleust der Angreifer Schadcode in
eine Entwicklungsumgebung ein. Die damit erzeugten Programme enthalten
dann weiteren Schadcode für den eigentlichen Angriff. Ein erstes Beispiel
dafür war in gewisser Weise der im Sommer 2009 aufgetauchte
“Delphi-Virus” Induc,
der Versionen der Delphi-Entwicklungsumgebung infizierte. Alle danach
damit kompilierten Programme sind ebenfalls infiziert.

Funktionsweise von Trojanern

Manche Trojaner enthalten eine Installationsroutine (oder bestehen sogar
nur aus einer solchen, die dann weiteren Schadcode nachlädt), die den
Schadcode so im System installiert, dass er unabhängig vom
eigentlichen Programm läuft und beim Systemstart automatisch gestartet
wird. Andere führen die Schadfunktionen nur so lange aus, wie das sie
tarnende Programm läuft. Außerdem gibt es Kombinationen beider
Funktionsweisen: Ein Teil der Schadfunktionen läuft nur so lange, wie
das tarnende Programm läuft, außerdem werden weitere Komponenten
installiert, die im Hintergrund laufen und bei jedem Systemstart mit
gestartet werden. Die Cyberkriminellen sind dabei völlig flexibel,
sie können die Variante wählen, die ihren Zwecken am besten
dient.

Verbreitung von Trojanern

Trojaner können auf jeden Weg auf einen Rechner gelangen, auf dem auch
normale Dateien auf ihn gelangen können, denn als solche kommen sie ja
daher. Jede von einem Server oder aus einer Tauschbörse
heruntergeladene Datei, jede per E-Mail empfangene Datei, jede von einem
mobilen Massenspeicher kopierte Datei kann ein Trojaner sein.

Teilweise verwischen die Grenzen zwischen den verschiedenen
Schadprogramm-Kategorien. So sind E-Mail-Würmer in gewisser Hinsicht
auch Trojaner, und auch der erste
Wurm,
der die später von Conficker ausgenutzte RPC-Schwachstelle ausnutzte,
war eigentlich ein “Netzwerkfähiger Trojaner”.

Tarnen, täuschen und gestartet werden

Außer sich als nützliches Programm zu tarnen, nutzen Trojaner
verschiedene andere Arten zur Tarnung. Unter Windows nutzen sie aus, dass
ausführbare Programme an ihrer Dateiendung erkannt werden und die
meisten Benutzer nicht alle entsprechenden Endungen kennen. Hinzu kommt,
das Windows die bekannten Dateiendungen in der Standardkonfiguration gar
nicht anzeigt und den Dateien beliebige Icon zugewiesen werden können.
Eine Datei mit dem Icon eines Bilds und dem angezeigten Dateinamen
harmlos.gif kann tatsächliche eine Programmdatei mit dem
Namen harmlos.gif.exe sein.

Über E-Mails verbreitete Trojaner enthalten oft eine große
Anzahl Leerzeichen zwischen vorgetäuschter Endung und
tatsächlicher Endung, z.B.
harmlos.gif                 .exe,
so dass nicht sofort erkennbar ist, dass es sich eigentlich nicht um ein
Bild, sondern um ein Programm handelt.

Trojaner, die sich selbst oder weiteren Code im System installieren,
verwenden dafür i.A. Namen, die denen bekannter Systemdateien ähneln.

In der
nächsten Folge
lernen Sie die Geschichte der Trojaner kennen.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware – Der Spion in Ihrem Computer

Viren – Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer – Schadsoftware, die sich selbst verbreitet

Trojaner

Trojaner – Der Feind im harmlosen Programm

Trojaner – Die Geschichte digitaler Holzpferde

Zeus – Trojaner, Botnet, Schädlingsbaukasten, …

Exploit-Kits – Die Grundlage für Drive-by-Infektionen

Rootkits – Schadsoftware im System

Remote Administration Toolkits – Fernwartung in der Grauzone

Botnets – Zombie-Plagen im Internet

Schadsoftware – Infektionen verhindern

Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? – Weg mit den Mythen!

Vorschau anzeigen
Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zei

Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Apple erlaubt keine Virenscanner im App-Store, es gibt Angriffe auf die PHP-CGI-Schwachstelle, Yahoo! veröffentlicht einen privaten Schlüssel, eine Verbesserung für TLS soll

Dipl.-Inform. Carsten Eilers am : Der Trojaner Mahdi/Madi – Cybercrime oder Cyberwar?

Vorschau anzeigen
Es gibt mal wieder einen neuen Schädling, der Teil einer Cyberwar-Aktion sein könnte: Mahdi bzw. Madi wurde im Nahen Osten entdeckt und weist einige Besonderheiten auf. Nichts genaues weiß man nicht Der Schädling wird

Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?

Vorschau anzeigen
Aus aktuellen Anlass mal eine Frage: Vertrauen Sie ihrem Rechner und ihrem Smartphone? Also dem reinen Gerät, nicht der installierten Software? Wenn ja: Warum eigentlich? Der aktuelle Anlass… Die Chinesen kopieren wirklich alles, wa

Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. – Pro und Contra

Vorschau anzeigen
Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr f&uu

Kommentare

Ansicht der Kommentare:
Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben






Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.



Standard-Text Smilies wie 🙂 und 😉 werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!