Trojaner-Programme dieser Klasse sind utilities für die entfernte (remote) Administrierung von Computern im Netz. Ihre Funktionen ähneln in vielen Beziehungen den verschiedenen Administrierungs-Systemen, die von den Herstellungs-Firmen für Programm-Produkte erarbeitet und verbreitet werden.
Die einzige Besonderheit dieser Programme, die sie uns als schadbringende Trojaner einstufen lässt, ist das Fehlen der Warnung vor der Installation und dem Start. Beim Start installiert sich der Trojaner im System, verfolgt es, ohne dem Anwender irgendwelche Meldungen über die Handlungen des Trojaners im System zu geben. Mehr noch, der Link auf den Trojaner kann auch in der Liste der aktiven Anwendungen fehlen. Resultat: der 'Anwender' dieses Trojaners kann über dessen Anwesenheit im System nichts wissen; während sein Computer bereits offen ist für die entfernte Steuerung.
Utilities der versteckten Steuerung können alles Mögliche, was sich der Autor ausgedacht hat, mit dem Computer veranstalten: Dateien empfangen und versenden, sie starten und vernichten, Mitteilungen erzeugen, Informationen löschen, den Computer neu starten usw. Im Ergebnis dessen können diese Art Trojaner benutzt werden, um vertrauliche Informationen aufzufinden und weiterzuleiten, desweiteren zum Start von Viren, zur Daten-Vernichtung u.ä. - die befallenen Computer sind für die böswilligen Absichten der Hacker offen. Somit gehören diese Trojaner zu den gefährlichsten Arten der Schadprogramme.
Extra erwähnen möchten wir eine backdoor-Gruppe, die fähig ist, sich im Netz zu verbreiten und in andere Computer einzudringen, wie die Computer-Würmer. Diese Trojaner unterscheiden sich von den Würmern durch die Tatsache, dass sie sich nicht freiwillig im Netz verbreiten (wie Würmer), sondern nur auf den speziellen Befehl des 'Eigentümers', der diese Trojaner-Kopie steuert.
Als Trojaner bezeichnen wir alle diese, die bestimmte Handlungen ausführen, welche zur Definition der Trojaner-Programme allgemein gehören: so die Zerstörung und böswillige Modifizierung von Daten, das Verhindern der Arbeitsfähigkeit des Computers usw.
Zu dieser Kategorie zählen auch multifunktionelle Trojaner-Programme, die gleichzeitig mehrere Ziele verfolgen: sie spionieren den Anwender aus und bieten einem entfernten Übeltäter Proxy-Service.
Trojan-PSW - Passwort-Diebstahl
Diese Familie vereint Trojaner-Programme, die verschiedene Informationen vom infizierten Computer 'stehlen', meistens - System-Passwörter (PSW - Password-Stealing-Ware). Beim Start suchen die PSW-Trojaner nach System-Dateien, die diverse vertrauliche Informationen enthalten (meist Telefon-Nummern oder Kennwörter, die den Zugang zum Internet gewährleisten) und senden diese an die im Trojaner-Code aufgezeigten E-Mail-Adressen.
Manche PSW-Trojaner leiten auch andere Informationen über den infizierten Computer weiter, so z.B.
Informationen über das System (Speicher- oder Festplattengröße, Version des Betriebssystems),
Informationen über den Typ des verwendeten Post-Clients,
die IP-Adresse
die Information zur Registrierung bei diversen Programmen,
die Zugangs-Codes zu den Internet-Spielen u.ä.
AOL-Trojaner, eine Familie der Trojaner Programme, 'stehlen' die Zugangs-Codes zum AOL-Netz (America Online), die aufgrund ihrer Vielzahl als extra Gruppe eingestuft werden.
Die Hauptfunktion dieser Trojaner-Familie ist die Organisierung ungesetzmäßiger Zutritte zu Internet-Ressourcen (meist zu Webseiten). Dies erreichen sie entweder durch den Versand der erforderlichen Befehle an den Browser, oder durch den Austausch derjenigen System-Dateien, in welchen die 'Standard'-Adressen der Internet-Ressourcen aufgeführt sind (z.B. die Datei: MS Windows hosts).
Der Übeltäter verfolgt dabei folgende Ziele:
erhöhen der Zahl der Besucher bestimmter Webseiten, um die Zahl der Reklame-'Besucher' zu erhöhen;
organisieren von DoS-Attacken (Denial of Service) auf einen bestimmten Server;
potentielle Opfer anlocken, um sie mit Viren oder Trojanern zu infizieren.
Diese Trojaner sind zur Installation von neuen Schadprogramm-Versionen, von 'Trojanern' und Reklame-Systemen auf Opfer-Computern vorgesehen. Die aus dem Internet geladenen Programme werden entweder zu ihrer Ausführung gestartet, oder durch den Trojaner zur automatischen Installation registriert, entsprechend den Möglichkeiten des Betriebssystems. Diese Tätigkeiten erfolgen alle ohne Kenntnis des Anwenders.
Die Information über den Namen und die Lage des herunter geladenen Programms befindet sich im Code oder den Daten des Trojaners, oder wird vom Trojaner von dem 'Steuerer' der Internet-Ressource (meist von der Webseite) gezogen.
Trojaner Programme dieser Klasse installieren versteckt andere Programme und werden praktisch immer dafür genutzt, um auf einen Opfer-Computer Viren oder Trojaner zu schleusen.
Diese Trojaner 'werfen' gewöhnlich ohne eine Nachricht (entweder über gefälschte Fehlermeldungen im Archiv oder einer falschen Version des Betriebssystems) Dateien auf die Festplatte in irgendein Verzeichnis, um sie dann zur Ausführung zu starten.
Die Struktur dieser Programme ist i.d.R. folgende:
Hauptdatei
contains the dropper payload
Datei 1
first payload
Datei 2
second payload
...
as many files as the coder chooses to include
Der "Hauptcode" untergliedert sich weiter in seine Komponenten (Datei 1, Datei 2, :), schreibt sie auf die Festplatte und öffnet sie (Ausführung des Schadprogramms).
Gewöhnlich ist in einer der Komponenten (oder in mehreren) das Trojaner-Programm enthalten, mindestens eine Komponente ist ein Spaßprogramm, ein Spiel, ein Bild o.ä. Dieses Spaßprogramm soll den Anwender ablenken und/oder demonstrieren, dass die gestartete Datei tatsächlich etwas Sinnvolles tut. Zur gleichen Zeit wird das Trojaner-Programm in das System installiert.
Zwei Ziele werden von den Hackern mit der Anwendung dieser Art Trojaner-Programme verfolgt:
die versteckte Installierung von Trojanern und/oder Viren;
der Schutz vor Anti-Virus-Programmen, da nicht alle von ihnen in der Lage sind, alle Komponenten innerhalb einer Datei dieses Typs zu scannen.
Trojan-Proxy - Trojaner Proxy-Server
Diese Familie der Trojaner organisiert versteckt anonymen Zugang zu verschiedenen Internet-Ressourcen. Gewöhnlich verwenden sie dafür Spam-Versand.
Diese Trojaner führen eine elektronische Spionage des Anwenders der infizierten Maschine durch: die über die Tastatur eingegebene Information, Monitor-Abbildungen (Screenshots), Listen der aktiven Programme und der Aktivitäten des Anwenders werden in irgendeiner Datei auf der Festplatte gespeichert und in bestimmten Abständen an den Übeltäter versandt.
Trojaner-Programme dieses Typs werden häufig verwendet, um Informationen über die verschiedenen online Finanz- und Banksysteme und die Zugangsdaten des Anwenders zu stehlen.
Rootkit
Der Begriff rootkit kam aus UNIX. Ursprünglich wurde der Begriff für die Bezeichnung der Instrumente verwendet, die erforderlich sind um die root-Rechte zu erhalten.
Da die Instrumente des Typs rootkit heutzutage sich auch auf anderen Betriebssystemen "eingenistet haben" (u.a. auf Windows), muss die bisherige Erklärung des Begriffs rootkit als moralisch veraltet und nicht den realen Tatsachen entsprechend betrachtet werden.
Nunmehr definieren wir rootkit als ein Programm-Code oder -Technik, ausgerichtet auf das Verbergen der Anwesenheit bestimmter zuvor eingegebener Objekte im System (Prozesse, Dateien, Register-Schlüssel u.ä.)
Für das Verhalten von Rootkit in der Klassifikation bei Kaspersky Lab gelten bestimmte Rechte: Rootkit — ist unter den Schadprogrammen der jüngste Vertreter. Das bedeutet, wenn ein Rootkit-Programm eine Trojaner-Komponente enhält, so wird das Programm als Trojaner detektiert.
ArcBomb - "Bomben" in Archiven
Hierzu gehören Archive, die speziell so aufgebaut sind, dass ein Fehlverhalten der Packer bei dem Versuch, die Daten auszupacken, hervorgerufen wird: der Computer 'bleibt hängen' oder arbeitet bedeutend langsamer, oder die Festplatte wird mit einer großen Zahl 'leerer' Daten gefüllt. Besonders gefährlich sind diese Archiv-'Bomben' für Datei- und Mailserver. Wenn auf dem Server irgendein System zur automatischen Bearbeitung der eingehenden Information benutzt wird, kann die Archiv-'Bombe' die Tätigkeit des Servers einfach beenden.
Es existieren drei Typen dieser "Bomben":
unkorrekter Name des Archivs,
sich wiederholende Daten im Archiv, und
gleiche Dateien im Archiv.
Ein unkorrekter Name des Archivs oder zerstörte Daten im Archiv können die Arbeit des konkreten Packers oder den Algorithmus des Auspackers beim Auseinandernehmen des Inhalts des Archivs durcheinander bringen.
Dateien großen Ausmaßes, die sich wiederholende Daten enthalten, werden im Archiv kleinen Ausmaßes verpackt (z.B.: 5GB Daten werden in 200KB RAR oder in 480 KB ZIP-Archiv verpackt).
Eine zu große Anzahl gleicher Dateien im Archiv haben praktisch keine Auswirkung auf die Archivgröße - bei Anwendung spezieller Methoden (z.B.: es gibt Verpackungsmethoden, wo 10100 gleicher Dateien in 30KB RAR oder 230KB ZIP-Archiv verpackt werden.
Trojan-Notifier - Meldung über eine erfolgreich durchgeführte Attacke
Diese Trojaner sind dafür vorgesehen, dem 'Eigentümer' über den infizierten Computer zu berichten. Dafür wird an die Adresse des 'Eigentümers' eine Information über den Computer gesandt - z.B. die IP-Adresse des Computers, die Nummer des offenen Portals, die E-Mail-Adresse u.ä. Der Versand erfolgt auf verschiedene Weise, beispielsweise über E-Mail oder ISQ.
Trojaner dieser Gruppe werden in Trojaner-Programmen, die aus mehreren Komponenten bestehen, verwendet, um den 'Eigentümer' über die erfolgreiche Installierung der Trojaner-Komponente in das attackierte System zu informieren.