Skip to content

Trojaner - Die Geschichte digitaler Holzpferde

Trojaner oder "Trojanischen Pferde" haben keine so lange Geschichte wie die Viren (wenn wir mal die hölzerne Urversion aus dem klassischen Griechenland außer Acht lassen), gehen aber ebenso wie die sowie die Viren und Würmer auf eine theoretische Arbeit zurück.

Am Anfang stand die Theorie...

1972 wurde von Daniel J. Edwards von der US-amerikanischen National Security Agency (NSA) der Begriff "Trojan Horse" zur Beschreibung einer besonderen Bedrohung, eben der durch angeblich nützliche Programme mit zusätzlichen schädlichen Funktionen, geprägt (siehe Anhang 1 der "Computer Security Technology Planning Study", Seite 70f im PDF von Band 2, der Vollständigkeit halber sei auch der zugehörige Band 1 (PDF) erwähnt).

Aus der Theorie wurde ein Spiel...

1975 schrieb John Walker, der Gründer von Autodesk und einer der AutoCAD-Entwickler, die Subroutine PERVADE für UNIVAC-1108-Rechner, um sein 1974 entwickeltes Spiel ANIMAL einfacher verbreiten zu können. Die Subroutine kopierte sich und das zugehörige Programm, in diesem Fall eben ANIMAL, in alle erreichbaren Verzeichnisse, wodurch sie irgendwann auch in Systemverzeichnisse gelangte, von denen aus sie dann über das gesamte System verteilt wurde. Durch den Austausch von Bändern gelangte das Programm dann auf andere Rechner und verbreitete sich sogar auf Rechner des Herstellers Univac selbst - von wo aus es dann mit Bändern mit Software an weitere Kunden ausgeliefert wurde. Die Verbreitung des Programms stoppte, als Univac 1976 eine neue Systemversion veröffentlichte: John Walker hatte bei der Entwicklung sehr sorgfältig darauf geachtet, dass das Programm keinen Schaden anrichtet, wenn PERVADE auf die in der neuen Systemversion geänderten Systemtabellen traf, stellte die Subroutine den Betrieb ein und ANIMAL wurde ein ganz normales Programm ohne Verbreitungsroutine.

"Transitive Trojanische Pferde" in der Theorie

1984 beschrieb Unix-Mitentwickler Ken Thompson in seiner Rede anlässlich der Verleihung des Turing Awards an ihn und Dennis Ritchie ein "transitives Trojanisches Pferd" ("Reflections on Trusting Trust", auch als PDF): Ein manipulierter Compiler könnte in das Unix-Programm login zusätzlichen Code integrieren, der zusätzlich zur Anmeldung mit dem jeweiligen Passwort des Benutzers auch die Anmeldung mit einem vorher bestimmten Passwort zulässt. Dieser Schadcode wäre im Quelltext des login-Programms nicht vorhanden, und wenn schon der Compiler des verwendeten C-Compilers manipuliert wäre, nicht einmal im Code des für das Übersetzen von login verwendeten Compilers.

Trojaner oder Wurm?

1987 infizierte "Christmas Tree" eine Vielzahl von Systemen mit dem Betriebssystem VM/CMS-9: Das Programm zeigte einen Weihnachtsbaum und schickte heimlich Kopien von sich selbst an alle Netzwerkuser, deren Adressen in den Systemdateien NAMES und NETLOG enthalten waren. Dies ist einer von vielen Fällen, in denen die Einstufung eines Schädlings nicht eindeutig möglich ist: Handelt es sich hier um einen sich selbst verbreitenden Wurm, oder ist es ein Trojaner, der offiziell Weihnachtsgrüße ausrichtet und heimlich für seine Verbreitung sorgt? Zumindest ist es eindeutig kein Virus, da keine Dateien verändert werden.

Trojaner auf Diskette

1989 wurde der erste Trojaner mit Schadfunktion in Form von Ransomware entdeckt: AIDS, auch bekannt als "Aids Info Disk" oder "PC Cyborg Trojan" (Analyse von Dr. Solomon und Co.), war eine Diskette mit einem Trojaner, die an rund 7.000 Leser der "PC Business World" sowie 3000 Teilnehmer einer WHO-AIDS-Konferenz geschickt wurde. Wurde der Schädling gestartet, verschlüsselte er alle Dateinamen. Die Entschlüsselung der Namen wurde gegen Zahlung einer Lizenzgebühr angeboten.

Trojaner auf Audio-CD

2005 verbreitete Sony BMG Audio-CDs, die einen als Trojaner einstufbaren Kopierschutz enthielten: XCP (Extended Copy Protection) installierte auf Windows-Systemen zusammen mit einem zum Abspielen der Musik benötigten Audioplayer ein (nebenbei bemerkt schlecht geschriebenes) Rootkit. Das überwachte das System auf den Einsatz bestimmter, unerwünschter Kopierprogramme und verweigerte denen den Zugriff auf das CD-Laufwerk. Außerdem versteckte das Rootkit Dateien und Verzeichnisse, deren Name mit $sys$ beginnt, und sendete verschiedene Informationen über abgespielte Lieder und CDs sowie die IP-Adresse des Rechners an einen Server.

Trojaner als angebliche Video-Codecs

Die angeblichen Video-Codecs, die tatsächlich dann z.B. Scareware, Ransomware oder Spyware installieren, sind allesamt (auch) Trojaner: Sie täuschen vor, ein Video-Codec zu sein, und installieren heimlich die Schadsoftware. Ein besonders "berühmtes" Exemplar dieser Spezies ist Tidserv bzw. Alureon: Das davon installierte Rootkit sorgte 2010 dafür, dass die Installation der Patches zu Microsofts Security Bulletin MS10-015 zu einem BSoD führte.

Verbreitet: Trojaner für Macs und Smartphones

Die meisten bisher veröffentlichten Schädlinge sowohl für Mac OS X als auch für Smartphones waren Trojaner. Vermutlich ist es für die Cyberkriminellen einfacher und/oder effektiver, die Benutzer zur Installation eines angeblich nützlichen Programms zu bewegen, als darauf zu warten, dass sich die Geräte selbst mit einem Virus infizieren oder von einem Wurm gefunden werden. Auf dem Mac dienten dabei z.B. angebliche Video-Codecs, Spiele oder auch Raubkopien als Lockvogel, für Smartphones alle möglichen Programme, aktuell im Fall des Android Market wurden mehr oder weniger populäre reguläre Programme entsprechend präpariert und veröffentlicht.

Spezialfall "Trojan Downloader"?

Eigentlich kein Spezialfall sind die sog. "Trojan Downloader". Auch sie können als angebliche Video-Codecs, nützliche Programme, angebliche Textdateien, als E-Mail-Anhang usw. usf. daher kommen. Ihr einziger Unterschied zu "klassischen" Trojanern ist ihre Schadfunktion, die nur im Nachladen weiteren Schadcodes besteht, während die klassischen Trojaner bereits den kompletten Schadcode enthalten.

In der nächsten Folge geht es um eine ganze Schädlingsfamilie, die u.a. als Trojaner verteilt wird: Zeus

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner
Trojaner - Der Feind im harmlosen Programm
Trojaner - Die Geschichte digitaler Holzpferde
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : "DNS-Changer" - welcher DNS-Changer ist gemeint?

Vorschau anzeigen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf eine Infektion mit der Schadsoftware "DNS-Changer" zu überprüfen und nennt auch eine Website, auf der das online erledigt

Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?

Vorschau anzeigen
Aus aktuellen Anlass mal eine Frage: Vertrauen Sie ihrem Rechner und ihrem Smartphone? Also dem reinen Gerät, nicht der installierten Software? Wenn ja: Warum eigentlich? Der aktuelle Anlass... Die Chinesen kopieren wirklich alles, wa