Trojaner - Der Feind im harmlosen Programm
Weiter geht unsere Reise durch die Welt der Schadsoftware. Das Thema dieser und der nächsten Folge: Trojaner bzw. trojanische Pferde - Schadsoftware, die sich als mehr oder weniger nützliches Programm tarnt.
Ein Trojaner - was ist das?
Ein Trojaner ist ein (evtl. nur angeblich) nützliches Programm, dass zusätzlich undokumentierte Schadfunktionen enthält, die i.A. ohne Wissen des Benutzers, immer aber ohne dessen Zustimmung ausgeführt werden.
Trojaner, die eigentlich Griechen wären
Trojaner ist die Verkürzung des ursprünglichen Begriffs "Trojanisches
Pferd", der auf das bekannte Trojanische Pferd
aus der griechischen Mythologie
zurückzuführen ist. Rein formal müsste man die Trojaner
also eigentlich Griechen nennen, da die ja im Trojanischen Pferd steckten.
Die Trojaner der Mythologie waren damals sozusagen die Benutzer, die das
angeblich nützliche Trojanische Pferd in ihre Stadt zogen, wo dann die
Griechen mit ihren schädlichen Aktionen begannen.
Würde man es ganz genau nehmen, könnte man das gesamte Programm
als trojanisches Pferd bezeichnen, und die Schadfunktionen als Griechen.
Das ist verwirrend? Dann vergessen Sie es einfach und merken sich nur, dass
in der IT Trojaner das gleiche wie trojanische Pferde sind und Programme
mit versteckten Schadfunktionen bezeichnen.
Arten von Trojanern
Es gibt viele Arten von Trojanern:
- Reine Schadprogramme, die sich nur durch den Dateinamen eines harmlosen Programms tarnen
- Schadprogramme, die vorgeblich nützliche Funktionen erfüllen, diese aber gar nicht (das Programm stürzt angeblich ab oder zeigt keinerlei Funktion, hat dann aber den Schadcode bereits ausgeführt) oder nur zur Tarnung ausführen
- Normale Programme, die zusätzlich undokumentierte Funktionen enthalten (das müssen nicht zwangsweise Schadfunktionen sein, definitionsgemäß ist jedes Programm, dass vor dem Anwender verborgene Funktionen enthält, ein Trojaner)
- Kombinierte Programme, die aus einem beliebigen Programm und einem damit verknüpften Schadprogramm bestehen (auf diese Weise wird oft Spyware verbreitet)
- Andere Dateien, die tatsächlich ein Programm sind (ein aktuelles Beispiel sind erstmals im September 2010 gesichtete angebliche neue Sicherheitszertifikate für Smartphones, die tatsächlich Programme sind, die mTANS ausspähen sollen)
- Plugins oder allgemein Erweiterungen für andere Programme (besonders beliebt sind dabei Browser-Plugins, da die völlig unauffällig mit den Servern der Cyberkriminellen kommunizieren können - welche Firewall hält schon den Netzwerkverkehr des Browsers auf?)
- ...
Spezialfall "transitive Trojanische Pferde"
Ein Spezialfall sind "transitive Trojanische Pferde": Statt direkt das Ziel anzugreifen, schleust der Angreifer Schadcode in eine Entwicklungsumgebung ein. Die damit erzeugten Programme enthalten dann weiteren Schadcode für den eigentlichen Angriff. Ein erstes Beispiel dafür war in gewisser Weise der im Sommer 2009 aufgetauchte "Delphi-Virus" Induc, der Versionen der Delphi-Entwicklungsumgebung infizierte. Alle danach damit kompilierten Programme sind ebenfalls infiziert.
Funktionsweise von Trojanern
Manche Trojaner enthalten eine Installationsroutine (oder bestehen sogar nur aus einer solchen, die dann weiteren Schadcode nachlädt), die den Schadcode so im System installiert, dass er unabhängig vom eigentlichen Programm läuft und beim Systemstart automatisch gestartet wird. Andere führen die Schadfunktionen nur so lange aus, wie das sie tarnende Programm läuft. Außerdem gibt es Kombinationen beider Funktionsweisen: Ein Teil der Schadfunktionen läuft nur so lange, wie das tarnende Programm läuft, außerdem werden weitere Komponenten installiert, die im Hintergrund laufen und bei jedem Systemstart mit gestartet werden. Die Cyberkriminellen sind dabei völlig flexibel, sie können die Variante wählen, die ihren Zwecken am besten dient.
Verbreitung von Trojanern
Trojaner können auf jeden Weg auf einen Rechner gelangen, auf dem auch normale Dateien auf ihn gelangen können, denn als solche kommen sie ja daher. Jede von einem Server oder aus einer Tauschbörse heruntergeladene Datei, jede per E-Mail empfangene Datei, jede von einem mobilen Massenspeicher kopierte Datei kann ein Trojaner sein.
Teilweise verwischen die Grenzen zwischen den verschiedenen Schadprogramm-Kategorien. So sind E-Mail-Würmer in gewisser Hinsicht auch Trojaner, und auch der erste Wurm, der die später von Conficker ausgenutzte RPC-Schwachstelle ausnutzte, war eigentlich ein "Netzwerkfähiger Trojaner".
Tarnen, täuschen und gestartet werden
Außer sich als nützliches Programm zu tarnen, nutzen Trojaner
verschiedene andere Arten zur Tarnung. Unter Windows nutzen sie aus, dass
ausführbare Programme an ihrer Dateiendung erkannt werden und die
meisten Benutzer nicht alle entsprechenden Endungen kennen. Hinzu kommt,
das Windows die bekannten Dateiendungen in der Standardkonfiguration gar
nicht anzeigt und den Dateien beliebige Icon zugewiesen werden können.
Eine Datei mit dem Icon eines Bilds und dem angezeigten Dateinamen
harmlos.gif
kann tatsächliche eine Programmdatei mit dem
Namen harmlos.gif.exe
sein.
Über E-Mails verbreitete Trojaner enthalten oft eine große
Anzahl Leerzeichen zwischen vorgetäuschter Endung und
tatsächlicher Endung, z.B.
harmlos.gif .exe
,
so dass nicht sofort erkennbar ist, dass es sich eigentlich nicht um ein
Bild, sondern um ein Programm handelt.
Trojaner, die sich selbst oder weiteren Code im System installieren, verwenden dafür i.A. Namen, die denen bekannter Systemdateien ähneln.
In der nächsten Folge lernen Sie die Geschichte der Trojaner kennen.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner
-
- Trojaner - Der Feind im harmlosen Programm
- Trojaner - Die Geschichte digitaler Holzpferde
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der Trojaner Mahdi/Madi - Cybercrime oder Cyberwar?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra
Vorschau anzeigen