Skip to content

Trojaner - Der Feind im harmlosen Programm

Geschrieben von Carsten Eilers am um 10:00

Weiter geht unsere Reise durch die Welt der Schadsoftware. Das Thema dieser und der nächsten Folge: Trojaner bzw. trojanische Pferde - Schadsoftware, die sich als mehr oder weniger nützliches Programm tarnt.

Ein Trojaner - was ist das?

Ein Trojaner ist ein (evtl. nur angeblich) nützliches Programm, dass zusätzlich undokumentierte Schadfunktionen enthält, die i.A. ohne Wissen des Benutzers, immer aber ohne dessen Zustimmung ausgeführt werden.

Trojaner, die eigentlich Griechen wären

Trojaner ist die Verkürzung des ursprünglichen Begriffs "Trojanisches Pferd", der auf das bekannte Trojanische Pferd aus der griechischen Mythologie zurückzuführen ist. Rein formal müsste man die Trojaner also eigentlich Griechen nennen, da die ja im Trojanischen Pferd steckten. Die Trojaner der Mythologie waren damals sozusagen die Benutzer, die das angeblich nützliche Trojanische Pferd in ihre Stadt zogen, wo dann die Griechen mit ihren schädlichen Aktionen begannen.
Würde man es ganz genau nehmen, könnte man das gesamte Programm als trojanisches Pferd bezeichnen, und die Schadfunktionen als Griechen.
Das ist verwirrend? Dann vergessen Sie es einfach und merken sich nur, dass in der IT Trojaner das gleiche wie trojanische Pferde sind und Programme mit versteckten Schadfunktionen bezeichnen.

Arten von Trojanern

Es gibt viele Arten von Trojanern:

  • Reine Schadprogramme, die sich nur durch den Dateinamen eines harmlosen Programms tarnen
  • Schadprogramme, die vorgeblich nützliche Funktionen erfüllen, diese aber gar nicht (das Programm stürzt angeblich ab oder zeigt keinerlei Funktion, hat dann aber den Schadcode bereits ausgeführt) oder nur zur Tarnung ausführen
  • Normale Programme, die zusätzlich undokumentierte Funktionen enthalten (das müssen nicht zwangsweise Schadfunktionen sein, definitionsgemäß ist jedes Programm, dass vor dem Anwender verborgene Funktionen enthält, ein Trojaner)
  • Kombinierte Programme, die aus einem beliebigen Programm und einem damit verknüpften Schadprogramm bestehen (auf diese Weise wird oft Spyware verbreitet)
  • Andere Dateien, die tatsächlich ein Programm sind (ein aktuelles Beispiel sind erstmals im September 2010 gesichtete angebliche neue Sicherheitszertifikate für Smartphones, die tatsächlich Programme sind, die mTANS ausspähen sollen)
  • Plugins oder allgemein Erweiterungen für andere Programme (besonders beliebt sind dabei Browser-Plugins, da die völlig unauffällig mit den Servern der Cyberkriminellen kommunizieren können - welche Firewall hält schon den Netzwerkverkehr des Browsers auf?)
  • ...

Spezialfall "transitive Trojanische Pferde"

Ein Spezialfall sind "transitive Trojanische Pferde": Statt direkt das Ziel anzugreifen, schleust der Angreifer Schadcode in eine Entwicklungsumgebung ein. Die damit erzeugten Programme enthalten dann weiteren Schadcode für den eigentlichen Angriff. Ein erstes Beispiel dafür war in gewisser Weise der im Sommer 2009 aufgetauchte "Delphi-Virus" Induc, der Versionen der Delphi-Entwicklungsumgebung infizierte. Alle danach damit kompilierten Programme sind ebenfalls infiziert.

Funktionsweise von Trojanern

Manche Trojaner enthalten eine Installationsroutine (oder bestehen sogar nur aus einer solchen, die dann weiteren Schadcode nachlädt), die den Schadcode so im System installiert, dass er unabhängig vom eigentlichen Programm läuft und beim Systemstart automatisch gestartet wird. Andere führen die Schadfunktionen nur so lange aus, wie das sie tarnende Programm läuft. Außerdem gibt es Kombinationen beider Funktionsweisen: Ein Teil der Schadfunktionen läuft nur so lange, wie das tarnende Programm läuft, außerdem werden weitere Komponenten installiert, die im Hintergrund laufen und bei jedem Systemstart mit gestartet werden. Die Cyberkriminellen sind dabei völlig flexibel, sie können die Variante wählen, die ihren Zwecken am besten dient.

Verbreitung von Trojanern

Trojaner können auf jeden Weg auf einen Rechner gelangen, auf dem auch normale Dateien auf ihn gelangen können, denn als solche kommen sie ja daher. Jede von einem Server oder aus einer Tauschbörse heruntergeladene Datei, jede per E-Mail empfangene Datei, jede von einem mobilen Massenspeicher kopierte Datei kann ein Trojaner sein.

Teilweise verwischen die Grenzen zwischen den verschiedenen Schadprogramm-Kategorien. So sind E-Mail-Würmer in gewisser Hinsicht auch Trojaner, und auch der erste Wurm, der die später von Conficker ausgenutzte RPC-Schwachstelle ausnutzte, war eigentlich ein "Netzwerkfähiger Trojaner".

Tarnen, täuschen und gestartet werden

Außer sich als nützliches Programm zu tarnen, nutzen Trojaner verschiedene andere Arten zur Tarnung. Unter Windows nutzen sie aus, dass ausführbare Programme an ihrer Dateiendung erkannt werden und die meisten Benutzer nicht alle entsprechenden Endungen kennen. Hinzu kommt, das Windows die bekannten Dateiendungen in der Standardkonfiguration gar nicht anzeigt und den Dateien beliebige Icon zugewiesen werden können. Eine Datei mit dem Icon eines Bilds und dem angezeigten Dateinamen harmlos.gif kann tatsächliche eine Programmdatei mit dem Namen harmlos.gif.exe sein.

Über E-Mails verbreitete Trojaner enthalten oft eine große Anzahl Leerzeichen zwischen vorgetäuschter Endung und tatsächlicher Endung, z.B. harmlos.gif                 .exe, so dass nicht sofort erkennbar ist, dass es sich eigentlich nicht um ein Bild, sondern um ein Programm handelt.

Trojaner, die sich selbst oder weiteren Code im System installieren, verwenden dafür i.A. Namen, die denen bekannter Systemdateien ähneln.

In der nächsten Folge lernen Sie die Geschichte der Trojaner kennen.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner
Trojaner - Der Feind im harmlosen Programm
Trojaner - Die Geschichte digitaler Holzpferde
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : "Für den Mac gibt es keine Viren"? - Weg mit den Mythen!

Vorschau anzeigen
Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zei

Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Apple erlaubt keine Virenscanner im App-Store, es gibt Angriffe auf die PHP-CGI-Schwachstelle, Yahoo! veröffentlicht einen privaten Schlüssel, eine Verbesserung für TLS soll

Dipl.-Inform. Carsten Eilers am : Der Trojaner Mahdi/Madi - Cybercrime oder Cyberwar?

Vorschau anzeigen
Es gibt mal wieder einen neuen Schädling, der Teil einer Cyberwar-Aktion sein könnte: Mahdi bzw. Madi wurde im Nahen Osten entdeckt und weist einige Besonderheiten auf. Nichts genaues weiß man nicht Der Schädling wird

Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?

Vorschau anzeigen
Aus aktuellen Anlass mal eine Frage: Vertrauen Sie ihrem Rechner und ihrem Smartphone? Also dem reinen Gerät, nicht der installierten Software? Wenn ja: Warum eigentlich? Der aktuelle Anlass... Die Chinesen kopieren wirklich alles, wa

Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra

Vorschau anzeigen
Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr f&uu