Trojan (datorprogram)

Den här artikeln handlar om en typ av datorprogram. För legenden om trähästen i Troja, se Trojanska hästen.

Beast, en windowsbaserad trojansk häst

En trojansk häst eller trojan är ett datorprogram som utger sig för att vara till nytta eller nöje, men som gör något annat när det lurat en användare att installera eller köra det. Programmet kan till exempel spionera på användaren, göra betalningar i användarens namn, skicka skräppost eller attackera andra datorer.

Den trojanska hästen kan vara skriven enbart för ändamålet eller kod för den dolda funktionen kan ha lagts till ett annat program.

Spridning

E-post och webbsidor

För vanliga datoranvändare är e-post innehållande trojanska hästar eller länkar till sådana det vanligaste hotet mot datasäkerheten. Följebrevet kan vara ett enkelt ”se här” eller så uppges bilagan vara en skärmsläckare eller annat lustigt program, en säkerhetsuppdatering, en rolig filmsnutt eller ett vanligt dokument. Avsändaren kan anges som någon i ens bekantskapskrets, till exempel då adresserna hittats på en gemensam bekants infekterade dator eller då den bekante inte upptäckt programmets eller dokumentets natur.

Om mottagaren kör det bifogade programmet har detta i allmänhet möjlighet att göra vad som helst som användaren själv har rätt att göra, till exempel att skicka sig vidare och installera en bakdörr på datorn.

Också i de fall bilagan inte verkar vara ett datorprogram kan den innehålla kod som kan komma att köras, exempelvis genom att ett bifogat dokument innehåller makrokod eller att filnamnet ger sken av att beskriva ett ofarligt dokument medan bilagan innehåller något helt annat. Bilagan kan också innehålla kod som utnyttjar en buffertöverskridning eller andra säkerhetshål i de program med vilka bilagan kan komma att behandlas.

Hur lätt det är att lura användaren att i misstag köra ett datorprogram beror delvis på operativsystem och använda program; till exempel döljer Windows ofta den del av filnamnet som visar filtypen och gör inte åtskillnad mellan att öppna ett dokument och att köra ett program.

Exekverbar programkod kan också laddas ner från nätet. En länk till en lämplig sida kan inkluderas i ett e-postmeddelande. Sidans adress kan väljas så att den verkar tillhöra ett hederligt bolag, bland annat genom att adressen innehåller en svårupptäckt felstavning eller en toppdomän annan än den firman registrerat sitt namn under (till exempel minbank.net eller minbamk.com istället för minbank.com). I vissa fall kan länken konstrueras så att innehållet hämtas automatiskt.

Modifierade program

Den som lyckas bryta sig in på en fildelningsserver kan ladda upp modifierade versioner av programfiler och sålunda plantera in trojanska hästar på en hederlig webbplats. Denna risk är uppenbar ifråga om fri programvara, varför många GNU/Linux-distributioner använder kryptografiska kontrollsummor och nycklar, med vilka man mer eller mindre automatiskt kan kontrollera att programmen inte modifierats.

Program kan omvandlas till trojanska hästar också av någon med legitim åtkomst till lämpliga datorsystem hos tillverkaren eller distributören, såsom en missnöjd anställd (jämför med Att installera bakdörrar). Ibland innehåller programmet ursprungligen en trojansk häst; mer eller mindre seriös programvara kan innehålla ett spionprogram.

CD:n, usb-minnen och liknande

CD:n och andra löstagbara medier kan användas som trojanska hästar, antingen då de förväntas innehålla programvara,^[1] varvid situationen påminner om den med bruten datasäkerhet vid programdistribution över nätet med hjälp av autorun-funktion, eller genom att utnyttja ett säkerhetshål.

Funktion

Termen trojansk häst syftar på myten om den trojanska hästen och alltså på det att programmet körs eller installeras frivilligt i god tro. Programmets oönskade funktion kan vara vad som helst, vanligen i följande:

En bakdörr, som tillåter distributören att logga in på datorn eller ta kontroll över den (se också Botnet).
Spionprogram, som följer med och rapporterar om användarens aktiviteter eller samlar användarnamn och lösenord.
Skräppost- eller fildelningsprogram.
Spridning, exempelvis genom att den trojanska hästen skickas med e-post till adresser programmet hittar på datorn.
Selektiv förstörelse av filer på datorn, exempelvis genom att virusskyddet helt eller delvis slås ut eller att programmet förstör filer som anses olämpliga.
Logisk bomb som förstör innehållet på datorn eller stör nättrafik vid en förprogrammerad tidpunkt.
Förändring av webbläsarens funktion, så att bland annat förbindelser till din bank kapas och pengar betalas in på konton kontrollerade av dem som ligger bakom kapningen.

Skydd mot trojanska hästar

Eftersom en trojansk häst aktiveras genom att en datoranvändare eller datoradministratör installerar eller kör programmet, kan man undvika trojanska hästar genom att aldrig köra programkod som härstammar från eller kan ha kommit via en otillförlitlig källa. Man kan också välja operativsystem, e-postprogram och webbläsare som gör det lätt att skilja mellan att öppna en fil och att köra den och se till att programmen inte är inställda så att de kör kod utan uttrycklig tillåtelse – många trojanska hästar utger sig för att vara ofarliga dokument medan de i själva verket är datorprogram.

Vem man kan lita på som ursprung eller distributör till datorprogram är en avvägningsfråga. Också stora företag har distribuerat spionprogram och till och med direkt skadlig programkod^[2] tillsammans med legitima produkter. Som tumregel kan man säga att åtminstone program man får via e-post eller vars ursprung är okänt alltid skall betraktas som suspekta. Om man kan lita på att ursprunget är vad det påstås vara är man någorlunda trygg, eftersom få vill distribuera skadlig kod i eget namn.

Program som laddats ner med fildelningsprogram är problematiska, då man sällan vet via vem man fått programmet. Om man känner till ursprunget eller någon som har en ursprunglig version av programmet kan man använda kryptografiska kontrollsummor (såsom MD5) för att försäkra sig om att programmet inte har modifierats. Programfiler kan också kontrolleras med antivirusprogram, som åtminstone avslöjar litet äldre allmänt spridd skadlig kod, förutsatt att virusprogrammet uppdaterats tillräckligt nyligen.

Se även

Referenser

^ ”Varning för usb-spioneri”. Varning för usb-spioneri. DN. http://www.dn.se/ekonomi/varning-for-usb-spioneri. Läst 18 februari 2013.
^ ”Sony rootkit: The untold story”. Sony rootkit: The untold story. ZDNet. http://www.zdnet.com/blog/btl/sony-rootkit-the-untold-story/2177. Läst 19 november 2013.

[1] ”Varning för usb-spioneri”. Varning för usb-spioneri. DN. http://www.dn.se/ekonomi/varning-for-usb-spioneri. Läst 18 februari 2013.

[2] ”Sony rootkit: The untold story”. Sony rootkit: The untold story. ZDNet. http://www.zdnet.com/blog/btl/sony-rootkit-the-untold-story/2177. Läst 19 november 2013.

[1]

[2]