Was ist ein Trojaner?

Trojaner (auch Tronjanisches Pferd genannt) gibt es seit den Anfängen der Computernutzung mit Großrechnern. Damals verfügte nicht jeder über einen leistungsstarken Rechner und deshalb waren viele Arbeitsplätze gleichzeitig an einem Großrechner angeschlossen. Auf den Großrechnern wurden die einzelnen Benutzer über ihre Benutzerdaten identifiziert, welche bei der Anmeldung übermittelt wurden. Die entstandenen Kosten, wurden entsprechend der in Anspruch genommenen Rechenzeit abgerechnet. Mit Hilfe eines Trojanischen Pferds war es möglich, die Rechner auf Kosten anderer Anwender zu nutzen. Hierzu brauchte man das Kennwort und den Anmeldenamen des Anwenders und konnte so unberechtigten Zugriff auf die Großrechner erhalten. Die Anmeldedaten wurden hierzu mittels eines heimlich installiertem Passwort-Sniffers (der eigentliche Trojaner) beim Anmelden des Users protokolliert und an den Autor des Trojaners verschickt.

Der Name Tronjanisches Pferd ist an die griechische Mythologie angelehnt, da sich der Trojaner als nützliches Programm tarnt und im Hintergrund ganz andere, meist schädliche Funktion ausführt. Aus diesem Grund gehört er, wie der Computervirus und der Computerwurm auch, zur Familie der Malware.

In diesem Artikel werden die folgenden Fragen geklärt:

• Was ist ein Trojaner (Trojanisches Pferd)?
• Welche Arten gibt es?
• Wie funktioniert ein Trojaner
• Welche Verbreitungsmöglichkeiten gibt es?
• Wie merke ich, dass mein System mit einem Trojaner infiziert ist?

Was ist ein Trojaner?

Ein Trojaner, ist ein Programm, dass sich weder vervielfältigt noch kopiert, jedoch die Sicherheit des Computers beschädigt oder beeinträchtigt. Es kann neben scheinbar nützlichen auch nicht dokumentierte, schädliche Funktionen enthalten und diese unabhängig vom Computeranwender und ohne dessen Wissen ausführen. Dabei läuft die schädliche Funktion lediglich im Hintergrund ab, ohne dass dieses vom Anwender bemerkt wird.

Nicht alle Trojanischen Pferde besitzen eine schädliche Funktion oder installieren ein Schadprogramm. Laut Definition wird ein Programm schon als Trojaner klassifiziert, wenn diesem ein wichtiger Funktionsteil hinzugefügt wurde, der in keinem Bezug zu den offensichtlichen Funktionalitäten des Programms steht und der User darüber nicht informiert wird. Unter dieser Definition fallen bestimmt einige Funktionen von Programmen, die wir täglich nutzen.

Welche Arten gibt es?

1. Linker
   Bei dieser Art wird eine ausführbare Wirtsdatei, über den sogenannten Linker, mit dem Trojaner verbunden. Dabei bleiben beide Programme (Wirtsdatei und Trojanischen Pferd) voll funktionsfähig. Startet der Anwender nach dieser Verbindung die ausführbare Wirtsdatei, wird ebenfalls der Trojaner ausgeführt und kann seine Schadfunktion entfalten. Als Wirtsdatei kann jede beliebige ausführbare Datei dienen.
2. Dropper
   Ein Trojaner dieser Art, kann eine heimliche Installationsroutine auf dem befallenen Rechner starten, sobald der Trojaner von einem Anwender ausgeführt wird. Hierbei wird unbemerkt schädliche Malware auf dem System installiert. Diese erhält einen Eintrag in den Autostart des PC’s. Nach einem Neustart des Rechners, wird somit auch die Malware automatisch geladen. Die Malware ist also nicht mehr auf das trojanische Pferd angewiesen.
3. Trojaner die die geheimen Funktionen in sich selbst tragen
   Hierzu zählen z.B Trojaner, die als Browserplugin getarnt sind. Durch Browserplugins, wird der Browser normalerweise um zusätzliche Funktionen erweitert. Trojaner dieser Art täuschen nützliche Funktionalitäten vor, um innerhalb des Browsers ausgeführt zu werden und somit spielend leicht die Firewall umgehen zu können. Dabei können sie sehr einfach die aktive Internetverbindung nutzen und mit ihrem Autor Kontakt aufnehmen. Anders als bei den Droppern, stehen die schädlichen Funktionalitäten nach der Löschung des Trojaners, nicht mehr zur Verfügung.
4. Trojaner die eine externe Schnittstelle eines Programms nutzen
   Hier benötigt das trojanische Pferd ein Programm des Anwenders, dessen externe Schnittstelle er nutzen kann, um den installierten Browser zu starten und dadurch eine Internetverbindung aufbauen zu können. Der Vorteil der 4. Trojanerart ist der, dass der Trojaner nicht auf den Anwender angewiesen ist, sondern selbst den Browser versteckt im Hintergrund öffnen kann und somit beliebig auf die Internetverbindung zurückgreift.

Wie funktioniert ein Trojanisches Pferd?

Die Arbeitsweisen von Trojanischen Pferden, lassen sich in drei Gruppen einteilen:

• ständig im Hintergrund aktiv
• nicht ständig im Hintergrund aktiv
• Client-Server-Prinzip

Die meisten fallen in die erste Gruppe. Diese spähen die Benutzerdaten von Online-Diensten aus und senden die Informationen unbemerkt an die Autoren der Trojaner. Also ähnlich wie im Beispiel aus der Einleitung. Viele dieser Trojanischen Pferde laufen ständig im Hintergrund des betroffenen Systems mit und zeichnen mitunter sämtliche Tastatureingaben auf. Dies bedeutet, alle Daten die der Anwender über die Tastatur eingibt, werden protokolliert. Hier nützt es leider gar nichts, wenn der Anwender sein Passwort für einen Online-Dienst nicht automatisch vom Browser speichern lässt, sondern erst bei der Anmeldung eingibt.

Aber die gesammelten Daten sind nach dieser Arbeitsweise häufig viel zu groß und undurchsichtig für den Autor. Aus diesem Grund hat man viel intelligentere Trojaner entwickelt, welche nur die Tastatureingaben aufzeichen, die auch wirklich für den Angreifer interessant sind.

Diese intelligenteren Trojaner sind noch derselben Gruppe zuzuordnen. Sie können die Usereingaben selektieren und interessieren sich vor allem für die Eingabe der Passwörter von Online-Diensten, Mail-Accounts oder Webseiten. Es kommt sogar zur Überwachung von Home-Banking-Programmen oder der Trojaner schneidet die Eingaben mit, wenn Sie auf den Webseiten Ihrer Bank Ihre Logindaten oder TAN’s eintipppen.

Der Vorteil für den Angreifer liegt auf der Hand. Er muss nun nicht mehr eine riesige Menge an Daten durchforsten um die für ihn relevanten Daten herauszufiltern.

Der zweiten Gruppe, gehören ebenfalls eine Vielzahl von Trojanern an. Diese laufen nicht ständig im Hintergrund des Systems, sondern werden erst aktiv, wenn der Anwender sich mit dem Internet verbindet oder einen bestimmten Onlinedienst verwendet.

Der Trojaner wurde so programmiert, dass er sich die Dateien auf einem System sucht, in der das zu kompromittierende Programm (z.B. Internetbrowser oder E-Mail-Programme) die Passwörter des Nutzers abspeichert. Viele Anwender nutzen leider heute immer noch die Funktion des Abspeichern von Passwörtern, damit diese nicht immer neu eingegeben werden müssen. Keine Frage, dass ist sehr praktisch, jedoch stellen diese Funktionen ein erhöhtes Sicherheitsrisiko dar.

Trojaner der letzten Gruppe, werden auch als Server-Programme bezeichnet. Sie erlauben es dem Hacker/Autor des Trojaners auf das betroffene System zuzugreifen. Diese sind die gefährlichsten die es gibt, da sie in der Regel alle genannten Arbeitsweisen vereinen können.

Server-Programme stellen folgende Möglichkeiten für den Angreifer bereit:

• Aufzeichnen der Tastatureingaben
• Auslesen von Passwörtern
• herunter- und/oder heraufladen von Dateien von/auf ein System

Meistens hat der Angreifer die volle Kontrolle über das betroffene System und kann mit diesem alles machen, was er gerade möchte.

Die Server-Programme bestehen aus einem Client und dem Server (dem eigentlichen Trojaner). Das Server-Programm muss zuerst auf einem System installiert werden, damit der Client eine Verbindung zu diesem herstellen kann. Dazu nutzt er eine von den oben beschriebenen Möglichkeiten sich auf einem System zu installieren. Nach der Installation, öffnet er auf dem System verschiedene Ports, damit der Zugriff durch den Autor möglich wird. Der Client ist dazu in der Lage nach aktiven Servern im Internet zu suchen. Somit wird dem Hacker bekannt gegeben, auf welche Systeme sich der Server installiert hat und er somit zugreifen könnte.

Was macht ein Trojaner auf Ihrem Rechner?

Welche Verbreitungsmöglichkeiten gibt es?

Trojaner können sich nicht von alleine verbreiten, es fehlt der Mechanismus zur Selbstverbreitung wie er bei den Computerviren vorhanden ist. Deshalb muss immer eine physikalische Verbindung mit dem zu infizierendem System bestehen, damit ein Trojanisches Pferd übertragen werden kann. Trojaner können sich zwischen den Dateien einer normalen Anwendung auf allen Wechseldatenträgern wie einer DVD oder einem USB-Stick befinden.

Am häufigsten werden sie aber über das Internet verbreitet. Zu diesem Zweck werden sie in so genannte Trägerprogramme eingebaut, die nützliche Funktionen für den Anwender vorgeben und im Hintergrund den Server in das System einfügen. Mit Hilfe dieses Servers ist es dem Autor möglich, ferngesteuert diverse Funktionen auf Ihrem Rechner auszuführen.

Es ist allerdings nicht möglich, den Computer mit einem Trojaner zu infizieren, wenn einfach nur eine Seite im Internet besucht wird. Diese Möglichkeit wird zwar theoretisch auf einschlägigen Webseiten diskutiert, ist aber bis zum heutigen Tag nicht möglich. Einen Computerwurm kann man sich hierbei aber schon einfangen.

Wie merke ich, dass mein System mit einem Trojaner infiziert ist?

Sollte Ihr Computer folgende Symtome aufweisen, besteht der dringende Verdacht einer Infizierung mit einem Trojaner:

• Windows wird während einer Arbeitssitzung einfach beendet oder heruntergefahren
• Die Taskleiste ist plötzlich nicht mehr sichtbar
• Seltsame Meldungen in kleinen Dialog-Fenstern erscheinen plötzlich
• Die Maustasten sind vertauscht
• Die Farben des Systems ändern sich
• Das DVD-Laufwerk öffnet und schließt sich von alleine
• Während Sie im Internet surfen, finden Übertragungen statt, ohne dass eine neue Webseite oder Dateien bewusst geladen wurden