Definition

Trojaner, Trojanisches Pferd

Ein Trojaner oder ein Trojanisches Pferd verbirgt sich beispielsweise ein einem harmlos aussenden E-Mail-Anhang oder auch einem unauffällig wirkenden Download. Wenn der Anwender den Anhang öffnet, oder das vermeintlich harmlose Programm herunterlädt und installiert, wird die darin versteckte Malware auf das System des Opfers übertragen. Dort kann die Schadsoftware dann dem Zweck nachgehen, für die sie vom Angreifer entworfen wurde.

Wie funktioniert ein Trojaner?

Je nach Ausprägung lädt der Trojaner das eigentliche Schadprogramm nach. Üblicherweise muss die ausführbare Datei dann auf dem System installiert sein, damit der Angriff vollständig erfolgreich ist. Häufig werden die potenziellen Opfer mit Social-Engineering-Taktiken dazu verleitet, den Trojaner auf ihr System zu laden. Diese Falle kann sich auf unterschiedlichste Weise verbergen, etwa in Links, in Bannerwerbung oder E-Mail-Anhängen.

Und letzteres ist eine der häufigsten Verbreitungsformen von Trojaner – scheinbar harmlose Nachrichten und E-Mail-Anhänge. Entwickler von Trojanischen Pferden nutzen häufig Spam-Taktiken, um die präparierten E-Mails an die Opfer zu versenden. Sobald die E-Mail geöffnet und der Anhang heruntergeladen worden ist, wird der Trojaner-Dienst installiert und bei jedem Start des Systems automatisch ausgeführt.

Trojaner werden von Cyberkriminellen auch dazu verwendet, um das System des Opfers in einen Zombie-Rechner zu verwandeln. Bei einem solchen System bemerkt der eigentliche Anwender nicht, dass eigentlich jemand anderes die komplette Kontrolle über den Rechner hat. Angreifer nutzen solche Zombie-Systeme beispielsweise, um zusätzliche Schadsoftware weiter zu verbreiten oder um so auch ein Netzwerk von Zombie-Rechnern einzurichten. Derlei Netzwerke werden auch als Botnetz bezeichnet.

Nicht nur Desktop- und Notebook-Anwender sind potenzielle Opfer von Trojanern. Eine derartige Infektion klappt auch auf mobilen Geräten wie Smartphones oder Tablets. Hier kann die Schadsoftware dann auch beispielsweise Anwendungen wie Messenger oder Kamera übernehmen, oder auch andere Daten an verbundene Server übermitteln.

Nachfolgend ein typisches Beispiel für eine Infektion durch einen Trojaner:

Das potenzielle Opfer erhalt eine E-Mail mit Anhang, die ganz legitim und wie erwartet aussieht. Der Anhang enthält den Schadcode, der ausgeführt wird, sobald das Opfer auf den Anhang klickt. Da bei diesem Vorgang augenscheinlich nichts Schlimmes passiert und der Rechner unverändert weiterarbeitet, vermutet das Opfer auch keine Infektion. Tatsächlich war im Anhang der Trojaner im Gepäck und der Computer ist nun infiziert.

Je nach Ausführung bleibt der schädliche Code bis zu einem bestimmten Datum inaktiv, oder wartet bis das Opfer eine bestimmte Aktion ausführt – etwa eine Banking-Website besucht. Zu diesem Zeitpunkt aktiviert der Auslöser den bösartigen Code und führt die beabsichtige Aktion aus. Erst dann kommt er seinem schädlichen Ansinnen nach und greift beispielsweise Daten ab. Je nachdem wie der Trojaner angelegt wurde, kann er sich selbst löschen, nachdem die beabsichtigte Funktion ausgeführt wurde. Oder er kehrt in den Ruhezustand zurück oder bleibt ganz einfach weiterhin aktiv.

Wo werden Trojaner eingesetzt?

Ist ein Trojanisches Pferd auf einem System aktiv, sind in der Regel sensible Benutzerdaten in Gefahr. Als Systeme noch nicht so leistungsstark waren, konnte sich ein Trojaner zudem merkbar auf die Leistung auswirken. Sobald ein Trojaner einmal auf einem System gelandet ist, kann er folgendes tun:

  • Dem Angreifer durch eine Hintertür die Kontrolle über das System erlauben;
  • Tastatureingaben aufzeichnen, um beispielsweise die Kontodaten und den Browserverlauf des Anwenders zu stehlen;
  • einen Virus oder einen Wurm nachladen und installieren, um dann wiederum Schwachstellen in einem anderen Programm auszunutzen;
  • Ransomware installieren und die Daten des Anwenders zu verschlüsseln, um Lösegeld zu erpressen,
  • Kamera und Mikrofon des Systems aktivieren, um Daten aufzuzeichnen;
  • das System des Opfers in einen Zombie-Computer verwandeln, der dann für Betrugsaktionen oder andere Angriffe missbraucht werden kann;

Was sind Beispiele für bekannte Trojaner?

Im Lauf der Jahre haben Sicherheitsforscher und Hersteller von Security-Lösungen immer wieder Trojaner entdeckt, die für durchaus große Schäden gesorgt haben. Einige der bekannten Entdeckungen sind folgende:

Zu den bekanntesten Trojaner oder besser entsprechenden Toolkits zählt Zeus. Mit Zeus erzeugte Trojaner werden häufig für das Abgreifen von Bank- oder Finanzdaten eingesetzt. Erstmals entdeckt wurden Zeus-Trojaner im Jahr 2007. Die Trojaner können Formulare abgreifen, Tastatureingaben aufzeichnen (Keylogging) und Varianten des Trojaners nutzen Drive-by-Downloads, um die Zugangsdaten der Opfer zu erfassen.

FakeAV-Trojaner haben sich im Windows-System eingenistet und Anwender über ein Pop-up-Fenster mit offiziellem Aussehen auf Probleme mit dem Computer aufmerksam gemacht. Wenn das Opfer den Anweisungen zur Behebung des Problems nachgekommen ist, wurde weitere Malware heruntergeladen.

TinyBanker erlaubt es Angreifern sensible Finanz- beziehungsweise Banking-Informationen zu stehlen. TinyBanker oder Tinba konnte Daten aus der Kommunikation zu Banken abfangen.

Was sind andere typische Arten von Trojanern?

Es existieren mannigfaltige Arten von Trojaner, die sich meist nach Einsatzzweck unterscheiden:

SMS-Trojaner, der mobile Geräte wie Smartphones infiziert und in der Lage ist, Textnachrichten zu senden oder zu empfangen.

Backdoor-Trojaner, der eine Hintertür auf dem System einrichtet, die dem Angreifer Zugriff und Kontrolle über den Rechner erlaubt. Diese Trojaner erlauben das Herunterladen von Daten durch Dritte, den Diebstahl von Daten sowie das Hochladen von zusätzlicher Malware.

Downloader-Trojaner, der in erster Linie dazu dient, weitere Schadsoftware nachzuladen.

DDoS-Trojaner, der dazu dient einen Distributed-Denial-of-Servcie-Angriff durchzuführen. Dabei wird ein bestimmter Zielrechner oder eine Zieladresse mit Datenverkehr überschwemmt, um die Netzwerkverbindung zu beeinträchtigen.

Ist ein Trojaner ein Virus?

Ein Trojaner oder ein Trojanisches Pferd wird manchmal auch als Virus bezeichnet, aber das ist eigentlich nicht zu treffend. Ein Trojaner verbreitet sich nicht ohne die Unterstützung des Endbenutzers. Aus diesem Grund setzten die Angreifer häufig auf Social Engineering, um das Opfer zu bestimmten Aktionen zu verleiten.

Nachdem so viele verschiedene Ausprägungen von Trojanern existieren, werden sie häufig auch als Oberbegriff für die Lieferdienste oder als Verbreiter von Malware bezeichnet. Je nach Zielsetzung des Angreifers und Struktur des Toolkits kann der Trojaner auf vielfältige Weise arbeiten. Manchmal als eigenständige Malware, manchmal als Werkzeug für andere Aktivitäten wie etwa das Nachladen von anderem Code oder das Öffnen des Systems für die gewünschte Kommunikation.

Wie kann man Trojaner erkennen?

Da sich Trojaner häufig als legitime Systemdateien tarnen, sind sie mit herkömmlichen Mitteln nicht immer einfach aufzuspüren. Manchmal lassen sich die Trojanischen Pferde durch ungewöhnliches Verhalten des Systems enttarnen. Manche Anzeichen, die in der Vergangenheit hilfreich waren, gehen heute oft in der Leistungsfähigkeit aktueller Systeme unter. Unerwartetes Systemverhalten, wie etwa die folgenden, können aber immer ein Indiz für weitergehende Untersuchungen sein: Manche der Vorgänge können aber auch durch ganz reguläre Updates ausgelöst werden.

  • Die Taskleiste hat ihre Erscheinung verändert oder ist sogar komplett deaktiviert.
  • Das vorhandene Antiviren-Programm wurde deaktiviert und die Funktionen zur Entfernung von Schadsoftware sind ausgegraut.
  • Es erscheinen Pop-Up-Meldungen, die bei einer Lösung eines Problems Hilfestellung anbieten, häufig in hoher Frequenz.
  • Ungewöhnliche Fehler- und Warnmeldungen erscheinen.
  • Der Browser weist auf einmal eine andere Startseite auf, oder leitet auf ein unbekanntes Angebot weiter.
  • Unerwartete Änderungen in der Darstellung von Hintergrund, Icons oder anderen Elementen.

Wie bereits erwähnt, können all diese Effekte auch durchaus durch ganz legitime Software verursacht auftreten – und das leider gar nicht mal so selten. Darüber hinaus kann auch Adware für ähnliche Effekte sorgen und so durchaus mit Trojanern verwechselt werden. Adware kann sich bei der Installation von Software auf den Computer einschleichen. Im Gegensatz zu Trojanern versteckt sich Adware in der Regel jedoch nicht so gut.

Wie kann man sich vor Trojaner schützen?

Für den Schutz vor Trojanern gilt, was für viele andere Bedrohungen auch gilt: Eine sehr hohe Wachsamkeit bei E-Mails prinzipiell aufrechterhalten – Stichware Security Awareness. Dies gilt insbesondere für Anhänge, niemals solche von unbekannten Quellen öffnen oder herunterladen. Der menschliche Faktor in Sachen Aufmerksamkeit ist auch bei Trojanern eine wichtige Säule in Sachen Verteidigung. Jede E-Mail mit schädlichem Beifang, die gar nicht erst geöffnet wird, senkt das Risiko erheblich. Eine Sicherheitslösung für Endpunkte, die in der Lage ist bösartigen Code zu erkennen, diesen zu isolieren und zu entfernen ist ebenfalls unabdingbar.

Tipps zum Schutz der Systeme vor Trojanern

  • Sicherheitsupdates für Betriebssysteme und Anwendungen sollten zeitnah eingespielt werden.
  • Benutzerkonten sollten durch sehr sichere Passwörter geschützt sein.
  • Anwender sollten für E-Mail-Anhänge und die Risiken sensibilisiert werden, und zwar auch für solche, die von bekannten Absendern stammen.
  • Regelmäßige Backups sollten eine Selbstverständlichkeit sein, damit ein System bei einem Trojanerbefall zeitnah wiederhergestellt werden kann.
  • Alle sensiblen Daten sollten auch durch die richtige Firewall-Konfiguration gut abgesichert sein.
  • Die Sicherheitslösungen sollten so konfiguriert sein, dass die Endanwender im Unternehmen automatisch bestmöglich davor geschützt sind, verdächtige Websites öffnen.
  • Software sollte nur aus dafür freigegebenen, verifizierten Quellen bezogen und installiert werden.

Wie man Trojaner entfernt

Wird ein Trojaner auf einem System identifiziert, sollte der Rechner vom Netzwerk getrennt werden. Die fraglichen Dateien sollte man mit einem dafür vorgesehenen Tool oder durch die Neuinstallation des Betriebssystems entfernen.

Problematisch dabei, ist zu erkennen, welche Dateien überhaupt infiziert sind. Sobald der Trojaner selbst identifiziert ist, wird der Rest des Prozesses einfacher. Oftmals liegen dann bereits online ganz gute Informationen vor, wie man die betroffene Schadsoftware wieder los wird. Bei derlei Vorgehen, muss man sich der Konfiguration der Systemwiederherstellungsfunktionen des Betriebssystems gewahr sein. Sonst werden gelöschte infizierte Dateien unter Umständen wieder hergestellt und infizieren das System erneut. Ein relativ sicherer Weg ist es meist, das Betriebssystem einfach neu aufzusetzen oder aus einem Image zurückzuspielen.

Die Geschichte des Trojanischen Pferdes

Ursprünglich stammt der Begriff aus der griechischen Mythologie über den Trojanischen Krieg, wie sie von Vergil in seiner Aeneis und auch in der Odyssee von Homer erzählt wurde. Der Legende nach machten die Griechen den Bürgern von Troja ein Geschenk in Form eines großen Pferdes aus Holz. Allerdings hatten sich darin griechische Soldaten versteckt. In der Nacht kletterten diese dann aus dem Pferd heraus und eroberten die Stadt.

Im Bereich der Informatik wurde der Begriff erstmal in der Mitte der 1970er-Jahrein einem Bericht der US-Air-Force genannt, in dem es um die Anfälligkeit von Computersystemen ging. Anfang der 1980er-Jahre wurde der Terminus durch Ken Thompson bekannt, als dieser den Turing Award erhielt. Eine Auszeichnung, die von der Association for Computing Machinery (ACM) an eine Person von technischer Bedeutung im Computerbereich verliehen wurde.

Im Laufe der 1980er-Jahre trug die zunehmende Nutzung von Bulletin-Board-Systemen (BBS) zur Verbreitung von Trojanern bei. Anwender konnten sich via Telefonleitung in die Bulletin-Board-Systeme einwählen. Dort konnten sie editieren oder auch Daten hochladen, was zum Austausch potenziellem Schadcode führte.

Diese Definition wurde zuletzt im August 2020 aktualisiert

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close