Trojanisches Pferd
Als Trojanisches Pferd, auch kurz Trojaner genannt, bezeichnet man ein Computerprogramm, das als nützliche Anwendung getarnt ist, im Hintergrund aber ohne Wissen des Anwenders eine andere Funktion erfüllt.
Ein Trojanisches Pferd zählt zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Es wird umgangssprachlich häufig mit Computerviren synonym verwendet, sowie als Oberbegriff für Backdoors und Rootkits gebraucht, ist davon aber klar abzugrenzen.
Der Name ist vom Trojanischen Pferd der Mythologie abgeleitet. Als etwas Nützliches getarnt, verleitete es die Angegriffenen dazu, in den geschützten Bereich gebracht zu werden. Die im inneren unentdeckt gebliebenen Soldaten verließen schließlich das Trojanische Pferd und erlangten als Angreifer Zugang zur Stadt bzw. zum geschützten System.
Durch die gebräuchliche Kurzform „Trojaner" wird die mythologische Herkunft des Begriffes genaugenommen verkehrt, da die Griechen die Angreifer waren, welche das Pferd bauten und benutzten, die Trojaner (also die Bewohner Trojas) hingegen die Opfer.
Trojanische Pferde sind Programme, die manchmal gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können, und dem Anwender nicht genannte Funktionen ausführen. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei benutzen, oder neben ihrer versteckten Funktion tatsächlich eine nützliche Funktionalität aufweisen.
Viele Trojanische Pferde werden dazu verwendet, um auf dem Computer heimlich ein Schadprogramm zu installieren, während sie ausgeführt werden. Diese Schadprogramme laufen dann eigenständig auf dem Computer, was bedeutet, dass sie sich nicht deaktivieren lassen, indem das Trojanerprogramm beendet oder gar gelöscht wird. Die tatsächliche Funktion der installierten Datei kann beliebiger Art sein. So können u. a. eigenständige Spionageprogramme auf den Rechner gelangen (z. B. Sniffer oder Komponenten, die Tastatureingaben aufzeichnen, sogenannte Keylogger). Auch die heimliche Installation eines Backdoorprogramms ist möglich, welches es gestattet, den Computer über ein Netzwerk (z. B. das Internet) fernzusteuern, ohne dass der Anwender dies kontrollieren kann.
Weil Trojanische Pferde häufig solche schädlichen Programme installieren, besteht das Missverständnis, dass erst die Funktionen der installierten Programme ein Trojanisches Pferd ausmachen. Trojanische Pferde müssen jedoch nicht notwendigerweise ein Schadprogramm bestimmter Art installieren. Jedes Programm, dem eine bedeutsame Funktionalität hinzufügt wurde, die mit dem offensichtlichen Teil des Programms in keinem Zusammenhang steht, ist definitionsgemäß ein Trojanisches Pferd, solange die Funktion dem Anwender nicht genannt wird. Ungeachtet der Tatsache, ob es ungefragt einen Fernzugriff ermöglicht, dabei hilft, sensible Daten auszuspähen, illegale Dialer-Programme installiert, zu einer Ablage illegaler Dateien auf fremden Speicherressourcen verhilft, unerwünschte Werbung aus dem Internet einblendet oder den Anwender ungewollt auf bestimmte Webseiten umleitet. Es ist nicht definiert, ob und inwiefern Heimtücke vorliegen oder dass eine Schadwirkung bei einem Trojanischen Pferd vorhanden sein muss. Deshalb ist es sogar möglich, dass der heimliche Teil des Programms keinen direkten Schaden verursacht.
Zahlreiche Trojanische Pferde entstehen durch den Verbund zweier eigenständiger Programme zu einer einzelnen Programmdatei. Dabei heftet ein Linker (auch Binder oder Joiner genannt) das zweite Programm an eine beliebige ausführbare Wirtdatei, ohne dass dieser Vorgang einen Einfluss auf die Funktionalität beider Programme hat. Durch den Start des ersten Programms wird so das zweite Programm, welches im ersten Programm versteckt ist, unbemerkt mitgestartet. Der Autor des Trojanischen Pferdes kann mithilfe eines entsprechenden Dienstprogrammes jede beliebige ausführbare Datei als Wirtprogramm missbrauchen, ohne Programmierkenntnisse besitzen zu müssen.
Es gibt Trojanische Pferde, die heimlich eine Installationsroutine starten. Diese Trojanerart wird häufig dafür eingesetzt, um unbemerkt Malware auf ein System zu installieren, sobald das Trojanische Pferd ausgeführt wird. Daher nennt man sie „Dropper" (vom englischen to drop – etwas im System „ablegen"). Ein Autostartmechanismus sorgt in der Regel dafür, dass die Malware auch nach einem Neustart des Rechners automatisch geladen wird. Für den Start der Malware ist das Trojanische Pferd auf diesem System nicht mehr erforderlich.
Demgegenüber gibt es auch Trojanische Pferde, welche die geheimen Funktionen in sich selbst bergen. Wird das Trojanische Pferd beendet oder gar gelöscht, so stehen auch die heimlichen Funktionen nicht mehr zur Verfügung. Ein Beispiel dafür sind zahlreiche Plugins. Bei einem Plugin handelt es sich um eine Art Erweiterungsbaustein für ein bestimmtes Programm, mit dem weitere Funktionen hinzugefügt werden können. So kann ein als nützliches Browser-Plugin getarntes Trojanisches Pferd auf einem Internetbrowser laufen, um beispielsweise über den Browser mit dem Internet zu kommunizieren, wodurch es auf einfache Weise eine Firewall umginge.
Allgemein ist es auch möglich, dass ein Trojanisches Pferd sich die externe Schnittstelle eines Programms zunutze macht. Ähnlich wie ein Plugin-Trojaner benötigt auch diese Trojanerart ein bereits vorhandenes Programm des Anwenders, um einen Teil seiner geheimen Funktionen durchführen zu können. Oft nutzt es dabei auch die Möglichkeiten des Betriebssystems, um das Programm in seiner Arbeit zu beeinflussen. So kann ein solches Trojanisches Pferd mithilfe des Browsers ein verstecktes Fenster öffnen, darüber eine Verbindung mit dem Internet aufbauen, um z. B. mitprotokollierte Tastatureingaben und Passwörter an den Angreifer zu schicken. Eine Firewall kann auch hier den heimlichen Verbindungsaufbau nicht verhindern, wenn die Verbindung zum Internet für den Browser erlaubt wurde. Der Vorteil dieser Methode gegenüber einem Plugin-Trojaner ist der, dass ein solches Trojanisches Pferd von sich aus jederzeit eine Internetverbindung aufbauen kann (wobei es von vornherein in der Lage ist, Einfluss auf die Darstellung der Fenster zu nehmen). Während der Plugin-Trojaner erst dann aktiv wird, wenn der Internetbrowser vom Anwender gestartet wurde.
Trojanische Pferde können über jeden Weg auf einen Computer gelangen, mit dem Daten auf den Computer gebracht werden.