ein trojaner laesst sich nicht so einfach erklaeren wie viren! viren werden meist durch ihre eigenschaft der reproduktion definiert, und trojaner eben durch ihre funktion (playload). replikation kann man als einen absoluten wert ansehen(entweder das programm kann es oder eben nicht, da gibt es keinen halbwert!), aber schaden und absicht nicht! wenn man sich die geschichte aus dem alten troja anhoert oder durchliest moege man dies verstehen koennen!
[*]die geschichte aus dem 12 jahrhundert v. chr.!
griechenland erklaerte der stadt troja den krieg! das ganze fing damit an, das ein junger man names paris die helena entfuehrte, die die frau von dem koenig von sparta names menelaus war. diese helena galt als die schoenste frau der welt.
deswegen verwickelte griechenland troja in einen 10 jahre andauernden krieg, aber die stadt koennten sie nicht besiegen.
irgendwann zog sich die griechische armee zurueck und hinterlies ein großes hoezlerndes pferd, wo sich die bessten und staerksten kaempfer grichenlandes befanden.
die bewohner von troja entdeckten das pferd und dachten in ihrer naivitaet, das dies ein geschenk sei und brachten das pferd in ihre stadt troja. nachdem es nacht wurde, kam die griechische armee aus dem pferd und oeffneten die stadttore von troja so dass die restliche griechische armee in die stadt konnte. die stadt wurde zerstoert, und das war die geschichte in sehr kurzer kurzform!
manch einer sagt, dass man nie einem griechen mit geschenken trauen sollte! na ja...
und wenn wir dies auf den pc projezieren so kann es bedeuten, das ein tojanisches pferd ein programm ist was durch attraktivitaet das aufsehen erregt und in dem eine unangenehme ueberraschung steckt!
[*]definitionen!
eine bekannte definition aus dem (veralteten) "site security handbook".
"ein tojanisches pferd kann ein programm sein, das etwas nuetzliches oder auch nur etwas interessantes tut. es tut immer etwas unerwartetes, wie beispielsweise ohne Ihr wissen passwoerte stehlen oder dateien kopieren."
es ist zwar nicht die besste zusammenfassung, aber dennoch werden wichtige punkte aufgefuehrt. wie oben gesagt, wird immer von der kann-beziehung geredet, also nur um es nocheinmal klar zu sagen, ein trojaner muss diese besagten nicht sachen tun, sondern er kann! durch diese verallgemeinterte definition wird eine reihe von moeglichkeit eroeffnet und umfasst programme deren einzigste funktion in boesen absichten liegen, programme, die wuenscheswerte und versteckt boesartige funktionen auffuehren und auch zufaellig trojnaer, die eigentlich wuenschenswerte funktionen ausfuehren sollten aber irgendwie oder grade deswegen etwas unerwunschtes tun.
diese definition besagt auch das ein trojaner etwas unerwartetes tut. aber dies kann man nur auf das opfer oder den empfaenger zuzusprechen, aber nicht fuer den programmierer!
bevor ich hier noch ewig rumrede sage ich lieber die definition die die meisten sicherheitsleute als wirklich empfinden!
ein trojaner ist ein programm, das vorgibt, eine wuenschenswerte oder notwendige funktion auszufuehren und das moeglicherweise auch tut, aber ausserdem eine oder mehrere funktionen auffuehrt die die person, die das programm ausfuehrt, weder erwartet noch erwunscht.
eine weitverbreitete moderne definition unterscheidet trojaner von verwanter malware, also viren oder wuermern, weil sich trojaner wie oben schon erwaehnt nicht sebst replizieren koennen.
manche leute wollen das man trojaner umbenennt in "nicht replizierende malware", weil trojaner oftmals mit sich replizierenden programmen wie viren und wuermer verwechselt! dies ist heute noch immer genauso! das haette sein vor-und nachteile, weil malware eben wieder boese absichten hat. aber man kommt nicht an den bosaertigen absichten vorbei!
neben der absicht taeuschen zu wollen, was viele definitioenen besagen, koennen auch boese absichten eine reihe von intentionen und mechanismen gehoeren. deswegen lassen sich trojaner in 3 grobe klassen einteilen. diese beziehen sich auf die absichten es programmes![list:4dc37eb486]
programme, die unerlabten zugriff wollen
programme, die die verfuegbarkeit verhindern wollen(dienste verhindern)
programme, die ohne erlaubniss daten und systeme modifizieren oder zerstoeren wollen
desweiteren lassen sich zufaellige trojaner nochmals 3 klassen einteilen!
programme, die unabsichtlich unerlaubten zugriff erlauben
programme, die unabsichtlich die verfuegbarkeint unterbinden
programme, die unabsichtlich die integritaet gefaehrden
das schwere einen trojaner zu definieren liegt daran das man nicht die wirklichen absichtes des progammieres kennt. man kann zwar die funktionen mit einer analyse des binaercodes oder einer automatischen untersuchen erkennen, aber eben nicht die absichten!
eine andere person namens dr. alan solomon hat eine definition von einer leicht anderen sicht gemacht die wie folgt lautet:
"nehmen wir mal an, ich habe ein programm geschrieben, das unfehlbar erkennen kann, on ein anderes programm die festplatte formatiert hat. kann mein programm dann sagen, dass das andere programm ein trojaner ist?
wenn das andere programm die festplatte formatieren sollte (wie beispielsweise format), dann ist es offentsichtlich kein trojaner. wenn aber der benutzer das formatieren der festplatte nicht erwartete, dann ist es ein trojaner. man muss die erwartungen des benutzers nicht mit dem vergleichen, was das programm tut. und niemand kann die erwartunge eines benutzers an ein programm festlegen!"
bei der schilderung kann man entnehmen das man hier die absichten des programmierers in den hintergund stellt und die erwartungen des benutzers in den vordergrund, denn mit erwartungen werden die opfer manipuliert! zudem wird aufgezeigt, das man manche viren erkennen kann, einfach daran das sie sich replizieren, und deshalb erkennbar sind. es ist moeglich die faehigkeit der replikation durch eine automatische oder halbautomatische codeanalyse abzuleiten. dies ist die metode mit der heutige virenscanner arbeiten sollten. aber es ist schwirig mit der methode die absichten des progammierers zu erfahren noch die erwartungen des benutzers.
manchmal werden viren und wuermer auch als trojaner bezeichnet (manche sagen, das ein programm von einem trojaner befallen ist), weil sie einen boesartigen code enthaelt. das koennte man auch so sehen, nur wird dann nicht unterschiden ob das programm in boeser absicht geschrieben wurde oder von einem programm was von einem code befallen wurde, was aber mal unschuldig war. aber das ist auch ein hauptargument, weshalb viren und wuermer immer wieder mit trojanern verwechselt werden.
alle boesartigen programme werden als viren bezeichnet, egal ob sie sich replizieren oder nicht. es werden auch programmeoder auch codeprobleme ohne bosartige absichten als viren bezeichnet (der uner dem namen bekannte millenium-virus ist ein beispiel dafuer).
auch die hersteller von anitvirensoftware kennen den unterschied genau, aber dennoch stellen sie, wenn eben neue trojaner endeckt wurden, dies in die viren kategorie. das liegt daran, das wenn ein virenscanner nichtviren(scherzprogramme, muelldateien und moechtegern viren (werden so genannt weil sie sich nicht replizieren koenn)) entdecken wurde es zusehr panic ausloesen.[/list:u:4dc37eb486][/list:u:4dc37eb486]
klassifizierungen
[list:4dc37eb486]trojaner werden hier in zwei gruppen eingeteilt.
trojaner die einen angriff auf die privatssphaere machen (das stehlen der passweorter, was zu einer nichterlaubten und moeglicher modifikationen fuehrt)
oder trojaner die einen angriff aus die intgitaet (deststuktive trojaner eben)
das ist eine vereinfachte darstellung, denn eine nicht erlaubte modifikation auch in dem sinne ein angriff auf die intgitaet. programme die eben die privatssphaere verletzen, zersoeren oftmals datein um die spuren zu verwischen. wiederum kann ein angreifer nach nichterlaubten zugriff streben. wenn dies der falle ist, stehen dahinter meinst boeswillige absichten, welche man nihct als definierte eigenschaften ansieht! deswegen beschreiben wir auch typen die in diesem zusammenhang nicht oft beruecksichtigt werden.
je nachdem was man von einem trojaner erwarten wuerde, soll manchmal zeigen in welchen bereichen man arbeitet. die leute die mit mainframes und minicomputern arbeiteten dachten lange das trojaner nur passwoerter stehlen wuerden, mit denen dann die privatssphaere verletzt wuerden waere. und die benutzer von mirkocomputern dachten eher an programme die zum beispiel festplatten formatieren wuerden oder gleich ganze systeme vernichten wollen(destruktive trojaner). im wirklichen aber sind destruktive und privatsshaere verletztende trojaner an den beiden enden der des grossrechners(pc-spektrum) zu finden und in den letzten jahren gab es dort allerding ueberschneidungen. beide werden folgend erklaert!
[/list:u:4dc37eb486]
destruktive trojaner
[list:4dc37eb486]trojaner die hauptsaechlich destrultiv sind plagen seit langer zeit die benutzer von mirkocomputern. es gab mla in dem 80igern eine liste mit dem namen "dirty dozen", diese wurde von "fridonet" veroeffentlicht. diese liste befasste sich mit der artigen programmen. es sollte eine zeit gegeben haben, wo man alle trojaner als destruktiv bezeichnete. diese liete ist natuerlich gewachsen nach der zeit, und machte waerend der 80iger und 90iger verschiedene veraenderungen durch. heutzutage sind die dort aufgelisteten trojaner recht kurzlebig!
es gab auch irgendwann mal weitverbreitete, bosartige und nicht replizierende programme auf dem mac-computern, darunter auch destruktive trojaner. beispiele dazu:[list:4dc37eb486]
virus info er sollte eigentlich informationen ueber viren geben, aber stattdessen formatierte er die ganze festplatte.
es gibt noch mehr dieser bespiele, aber die lasse ich mal aus.
im gegensatz zu viren werden solche trojaner werden seltener durch dritte verbreitet. es gibt eine vielzahl schlecht programmierter trojaner die einfache befehle wie del, deltree oder format, weil dies einefache batchfefehle sind.
torjaner werden normalerweise direkt ausgeloest, also nach der ausfuehrung wird der schaden verrichtet. und nachdem dies geschehen ist, kann das opfer schlecht den trojaner ausversehen an andere weiter geben.
aber es gibt auch speicherresidente trojaner, diese installieren sich selbst und lafen bei jeder compuersitzung mit. bei solchen trojanern ist die absicht passwoerter zu stehlen die aufgabe.
jeder trojaner dessen funktion nicht sofort erkannt werden kann, koennte sich eventuell verbreiten. um es einfacher zu sagen, wenn er kein schaden verrichtet, so kann er sich verbreiten[/list:u:4dc37eb486][/list:u:4dc37eb486]
trojaner, die die privatssphaere verletzen
[list:4dc37eb486]diese trojaner haben meist die funktion, das der programmieres des trojaner an systeminformationen kommt, wie schon oft erwaehnt sind die passwoerter das ueblichste ziel.
aber sie koennen auch (noch dazu) informationen ueber das system geben oder das system gefaehrden.
manche antivirensoftware-hersteller unterscheiden privatsphaere verletztende trojaner und destruktive trojaner. die meisten privatsphaere verletztende trojaner werden als passwort stealer bezeichnet. diese art war in den 90igern weit verbreitet. es wurden die passwoerter von vielen AOL kunden gestolen.
[/list:u:4dc37eb486]
backdoor/hintertuer-trojaner[list:4dc37eb486]
[/list:u:4dc37eb486]
das ganze hier ist noch nicht komplett, da es etwas laenger dauer, alles zu schreiben!
20.12.2002, 09:34
12.02.2012, 03:30
Mehr zum Thema 
