Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 8 Min.

GEFAHREN KENNEN UND ABWEHREN: 10.Trojaner-Tricks


PC Magazin - epaper ⋅ Ausgabe 8/2020 vom 02.07.2020

Auf PCs und Mobilgeräten verstecken sich Trojaner in vermeintlich nützlichen Programmen und hoffen darauf, dass sie von arglosen Nutzern installiert und aktiviert werden. Und genau dann wird es richtig gefährlich.


Artikelbild für den Artikel "GEFAHREN KENNEN UND ABWEHREN: 10.Trojaner-Tricks" aus der Ausgabe 8/2020 von PC Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Magazin, Ausgabe 8/2020

Der Sage nach hat der griechische Held Odysseus die Einwohner von Troja mit einem hölzernen Pferd getäuscht und den Trojanischen Krieg dadurch zu seinen Gunsten entschieden. Waren es einstmals Soldaten im Bauch des Pferdes, die die feindliche Armee überrumpelten, so sind es heute digitale Feinde, die nach dem gleichen Prinzip agieren. Getarnt als nützliche Programme oder über Skripts auf ...
Prominente Beispiele gibt es genügend. So wurde unter anderem der Deutsche Bundestag per Trojaner ausgespäht (siehe Punkt 2). Das Kammergericht Berlin wurde am 20. September 2019 Opfer des Trojaners Emotet (siehe Punkt 3): Was vergleichsweise harmlos begann, mündete in ein echtes IT-Desaster. Laut Untersuchungsbericht blieb das Gericht monatelang of_ine. Mitarbeiter mussten zum Teil für ihre Arbeit auf Schreibmaschinen, Stifte, Papier und unvernetzte Notebooks umsteigen. Rund 500 PCs wurden extra neu angeschafft. ...

Weiterlesen
epaper-Einzelheft 3,49€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Magazin. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 8/2020 von Windows Hacks & 5 System-Tools. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows Hacks & 5 System-Tools
Titelbild der Ausgabe 8/2020 von MICROSOFT BUILD 2020: Selbstlernende Computer. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
MICROSOFT BUILD 2020: Selbstlernende Computer
Titelbild der Ausgabe 8/2020 von BETRUG: Gefälschte SD-Karten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
BETRUG: Gefälschte SD-Karten
Titelbild der Ausgabe 8/2020 von WINDOWS Registry-Hacks. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
WINDOWS Registry-Hacks
Titelbild der Ausgabe 8/2020 von TROUBLESHOOTING 5 Tools für Windows Hacks. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
TROUBLESHOOTING 5 Tools für Windows Hacks
Titelbild der Ausgabe 8/2020 von UNSICHTBARE MALWARE Fiese Rootkits. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
UNSICHTBARE MALWARE Fiese Rootkits
Vorheriger Artikel
TROUBLESHOOTING 5 Tools für Windows Hacks
aus dieser Ausgabe
Nächster Artikel UNSICHTBARE MALWARE Fiese Rootkits
aus dieser Ausgabe

Der Sage nach hat der griechische Held Odysseus die Einwohner von Troja mit einem hölzernen Pferd getäuscht und den Trojanischen Krieg dadurch zu seinen Gunsten entschieden. Waren es einstmals Soldaten im Bauch des Pferdes, die die feindliche Armee überrumpelten, so sind es heute digitale Feinde, die nach dem gleichen Prinzip agieren. Getarnt als nützliche Programme oder über Skripts auf Webseiten werden Trojaner installiert und sind dann unbemerkt im Hintergrund aktiv (siehe Schaubild auf der rechten Seite).
Prominente Beispiele gibt es genügend. So wurde unter anderem der Deutsche Bundestag per Trojaner ausgespäht (siehe Punkt 2). Das Kammergericht Berlin wurde am 20. September 2019 Opfer des Trojaners Emotet (siehe Punkt 3): Was vergleichsweise harmlos begann, mündete in ein echtes IT-Desaster. Laut Untersuchungsbericht blieb das Gericht monatelang of_ine. Mitarbeiter mussten zum Teil für ihre Arbeit auf Schreibmaschinen, Stifte, Papier und unvernetzte Notebooks umsteigen. Rund 500 PCs wurden extra neu angeschafft.
Angesichts der Gefahren für Ihre Privatsphäre und Finanzen sollten Sie die Tricks der Trojaner kennen und geeignete Gegenmaßnahmen ergreifen. Trojaner bestehen oftmals nur aus wenigen Zeilen Programmcode und sind daher entsprechend klein. Zudem lassen sich Trojaner gut in anderen Dateien verstecken. Das können Programme sein, Dokumente, Kalkulationen, PDFs und Bilder sowie ZIP- und CAB-Archive. Genau das macht Trojaner so gefährlich - sie verbreiten sich nämlich auf vielen Wegen, sofern man sie lässt. Mit entsprechender Sicherheits-Software, Vorsicht und gesundem Menschenverstand lassen sich die meisten Trojaner nämlich abwehren.

1.Trojaner verbreiten sich als Dateianlage in E-Mails

Besonders tückisch und bei Kriminellen zur Verbreitung von Trojanern beliebt sind E-Mails. Sind zum Beispiel eine Word-Datei oder ein ZIP-Archiv als Dateianlage mit einem Trojaner in_ziert, reicht etwa ein Doppelklick darauf aus. Der Trojaner lädt unbemerkt im Hintergrund Schadsoftware nach. Doch warum fallen die Empfänger einer solchen in_zierten E-Mail überhaupt auf diese plumpen Tricks herein? Ganz einfach: Oft kommen die Mails von bekannten - und somit vertrauenswürdigen - Absendern. Oder der Empfänger wird persönlich angesprochen und mit einer dringenden Aktion konfrontiert. Oft lauten die Betreffzeilen zum Beispiel [Vorname] [Nachname] Ihr Rechtsanwalt Aufforderung oder Inkasso Aufforderung für [Vorname] [Nachname]. Der Dateianhang soll dann weiterführende Infos liefern. Auch im Namen von Amazon, Banken und Finanzdienstleistern werden permanent Trojaner verschickt. Auch wenn nur wenige Empfänger auf die Masche hereinfallen: Bei millionenfach verschickten Mails ist der Schaden dennoch groß.

Ein Jahre alter Trojaner kehrt zurück und sorgt mit neuen Angriffsmethoden für Millionenschäden. Unberechenbar wird Emotet zudem, da der Trojaner in der Lage ist, weitere Schadsoftware nachzuladen. So wird beispielsweise der Trojaner Trickbot nachgeladen. Dieser kann Passwörter auslesen und sich über die Ausnutzung von bekannten SMB-Schwachstellen in einem Netzwerk ausbreiten.


Sind einzelne PCs, Server oder Netzwerkressourcen von einem Kryptotrojaner verschlüsselt, hilft oft nur die Zahlung eines verlangten Lösegelds.


2.E-Mails enthalten Links auf präparierte Webseiten

Doch auch ohne Dateianlage sind Mails gefährlich. Am 30. April 2015 wurde der Deutsche Bundestag mit rund 20.000 PCs das Ziel einer Hackerattacke. Eine zeitgleich an mehrere Bundestagsabgeordnete gesendete E-Mail enthielt einen Link zu einem vermeintlichen Bulletin der Vereinten Nationen. Beim Öffnen der gefälschten Webseite wurde ein Trojaner auf dem Rechner des Mail-Empfängers installiert. Dieser ermöglichte den Hackern den Zugriff auf die IT-Systeme des Bundestages und auf sensible Inhalte wie Passwörter und Admin- Accounts. Insgesamt _ossen mehr als 16 Gigabyte Daten, darunter E-Mails von Abgeordneten, mutmaßlich auf ausländische Server ab. Hinter dem Angriff steckte nach jüngsten Erkenntnissen Dmitriy Badin, der im Auftrag des russischen Militärnachrichtendienstes GRU handelte. Gegen den Hacker hat die deutsche Bundesanwaltschaft Anfang Mai 2020 einen internationalen Haftbefehl erwirkt. Die Vorwürfe gegen Badin lauten auf geheimdienstliche Agententätigkeit und das Ausspähen von Daten.

3.Hacker verschlüsseln Daten bis zur Zahlung von Lösegeld

Sogenannte Kryptotrojaner beziehungsweise Verschlüsselungstrojaner stehlen von den Opfern keine Daten; die Angreifer wollen Geld erpressen. Daher werden die Trojaner auch als Ransomware (von englisch ransom für Lösegeld) bezeichnet. Wird ein solcher Trojaner beispielsweise per Mail in ein Windows-System eingeschleust und aktiviert, werden einzelne Rechner und alle erreichbaren Netzlaufwerke so verschlüsselt, dass kein Zugriff mehr darauf möglich ist. Bei größeren Netzwerken gehen die Angreifer besonders koordiniert vor: Die Verschlüsselung der Netzressourcen startet meist gleichzeitig, sodass den Administratoren möglichst wenig Reaktionszeit bleibt, um gefährdete Server rechtzeitig abzuschalten. Sind die Daten nach einer Attacke per Kryptotrojaner nicht mehr zugänglich, müssen sowohl Privatnutzer als auch ITVerantwortliche in Unternehmen die weitere Vorgehensweise genau abwägen: Gibt es ein vollständiges Backup, können die betroffenen Systeme neu aufgesetzt werden. Ist keine Sicherung vorhanden oder das Aufsetzen zu teuer, kommen die Opfer kaum um die Lösegeldzahlung herum - sofern es noch keine entsprechenden Tools zur Entschlüsselung gibt. Bei Privatpersonen fordern die Kriminellen meist noch moderate Lösegelder von wenigen Hundert Euro. Manche von Ransomware betroffene Firmen mussten mehrere 100.000 Euro per nicht verfolgbarer Bitcoin-Transaktion bezahlen, um ihre Netzwerke mit mehreren Servern sofort wieder nutzen zu können.

Über scheinbar harmlose Mails mit präparierten Dateianlagen werden Trojaner eingeschleust.


Ein Virenscanner entdeckt und meldet Webseiten, die verdächtige Aktivitäten wie Skripte ausführen.


4.FakeAV-Trojaner warnen vor angeblichen Sicherheitsrisiken

Äußerst per_de arbeiten FakeAV-Trojaner. Sie schleichen sich als Anhängsel von Programmen oder über manipulierte Webseiten in das System ein und spielen sich dann als Retter auf, indem sie sich als seriöse Antiviren- Software ausgeben. Sie warnen den Windows-Nutzer vor vermeintlichen Gefahren und zeigen nach einer Analyse des Systems zig gefundene Schädlinge an. Klar, dass sich die Vollversion der Sicherheits- Software gleich mit wenigen Klicks online kaufen lässt. Die Placebo-Programme _nden und beseitigen dann natürlich die zuvor gefundenen Schädlinge, die es aber nie wirklich gab. Gegen echte Bedrohungen helfen die Fake-Virenscanner nicht.
Ähnlich funktionieren übrigens auch Fake- Tuning-Tools, die einen enormen Leistungsgewinn versprechen und dazu nach einem Systemscan allzu optimistische Ausblicke geben. Auch hier zielen die Kriminellen nur darauf, dass der Nutzer auf das Versprechen hereinfällt und für viel Geld eine nutzlose Placebo-Software kauft.

5.Fremde Rechner per Remote Access Trojaner fernsteuern
Mithilfe von Remote Access Trojanern (RAT) können Angreifer die Kontrolle über einen entfernten Rechner übernehmen und ihn mit der Maus und Tastatur fernsteuern - so, wie es legal zum Beispiel mit der Teamviewer- Software möglich ist. Ende 2019 wurde der Schädling SectopRAT entdeckt, der einige sehr interessante Funktionen an Bord hat: Der RAT startet einen weiteren Prozess von explorer.exe, der jedoch dem Windows-Nutzer verborgen bleibt. Auf einem zweiten Desktop kann ein Angreifer auf das Dateisystem zugreifen, Windows- Einstellungen ändern und einen Webbrowser starten.
Viele andere Remote Access Trojaner nutzen Keylogger, um alle Tastatureingaben aufzuzeichnen und an die Angreifer zu übermitteln. So lassen sich etwa Zugangsdaten sowie vertrauliche Kreditkarten- und Sozialversicherungsnummern ausspionieren. Ein RAT kann außerdem Webcam und Mikrofon eines PCs einschalten und regelmäßig Screenshots anfertigen. Somit kann ein Nutzer ausspioniert und eventuell mit kompromittierenden Videos erpresst werden. Entsprechende Mails sind millionenfach im Umlauf, allerdings versuchen die Ganoven, Geld mit der Angst der Nutzer zu machen, ohne dass sie entsprechende Videos oder Audioaufnahmen besitzen.

6.Hijacker übernehmen die Kontrolle über den Webbrowser
Beim Surfen mit Firefox, Chrome, Opera und Edge besteht stets Gefahr, dass Angreifer die Kontrolle über den Browser übernehmen und ihn für ihre Zwecke missbrauchen. Sichtbare Anzeichen für das Kidnapping (englisch: Hijacking) sind beispielsweise eine veränderte Startseite oder eine neue standardmäßige Suchmaschine. Nicht offensichtlich sind Tracking-Cookies und Cookies für Provisionsabrechnungen bei Online-Käufen. Bekannte Browser-Hijacker sind Awesomehp und NationZoom, die sich mit gängigen Virenscannern aufspüren und beseitigen lassen. Eine Gefahr droht von Browser-Erweiterungen - selbst, wenn sie von den of_ziellen Anlaufstel bereits millionenfach im Einsatz sind. Prominentes Beispiel war WOT (Web of Trust), das 2016 als Datenkrake aufge_ogen ist. Rund 140 Millionen User haben dem selbst ernannten Reputations- und Rezensionsservice für Websites vertraut. Nach ausgiebigen Recherchen des NDR kam heraus, dass die WOT-Erweiterung weitaus mehr Informationen sammelt, als es für seinen vorgegebenen Zweck erforderlich wäre. Die Datensätze mit weitreichenden Details und Personendaten wurden dann nachweislich an Dritte verkauft.

Mit einem Tool wie Glasswire überwachen Sie ein- und ausgehende Internetverbindungen und entlarven so auch Trojaner.


7.Internet-Telefonate heimlich abhören und aufzeichnen

Auch der beliebte internetbasierte Instant- Messaging-Dienst Skype wurde auf Windows- Rechnern in der Vergangenheit das Ziel von Angreifern. Der im Jahr 2016 entdeckte Trojaner T9000 war in der Lage, Skype- Videotelefonate aufzuzeichnen. Der Angriff wurde mittels präparierter RTF-Dokumente eingeleitet, die per E-Mail an die arglosen Opfer verschickt wurden. Über inzwischen geschlossene Sicherheitslücken in Mic rosoft Of_ce konnte sich der Trojaner in Stellung bringen. Wurde der Zugriff auf die Skype-API über eine scheinbar unverfängliche Datei explorer.exe erlaubt, konnte der Trojaner im Hintergrund Chats, Gespräche und Videotelefonate mitschneiden und an die Angreifer übermitteln.

8.Android-Trojaner hat es auf Finanz-Apps abgesehen

Längst haben Trojaner aber auch Android- Smartphones im Visier. Der im vergangenen März entdeckte Trojaner EventBot tarnt sich als vermeintlich vertrauenswürdige App und missbraucht dann die Bedienungshilfen des Betriebssystems für seine Zwecke. Der Trojaner zeichnet alle Benutzeraktionen auf und versucht, Daten von Finanz-Apps wie PayPal und Coinbase abzugreifen. Dabei fängt der Trojaner gezielt die SMS-Kommunikation ab und kann somit die scheinbar sichere Zwei-Faktor-Authenti _zierung (2FA) aushebeln.

9.Kontakte, SMS und WhatsApp- Chats von Smartphones stehlen

Die Sicherheitsexperten von Kaspersky haben Ende 2017 einen Trojaner entdeckt, der auf Android-Geräten sein Unwesen treibt. Der nach der von seinen Entwicklern genutzten Domain Skygofree getaufte Trojaner überraschte die Experten mit seinen fortschrittlichen Funktionen, die so noch kein anderer Schädling mitbrachte. Skygofree ist etwa in der Lage, das Mikrofon einzuschalten und Audioaufnahmen zu starten, sobald ein in_ziertes Gerät an einer bestimmten Position per GPS geortet werden konnte. Außerdem kann der Trojaner heimlich eine Verbindung zu einem von den Angreifern kontrollierten WLAN herstellen, selbst wenn das WLAN auf dem betreffenden Gerät abgeschaltet ist. Dadurch können die Angreifer den kompletten Datenverkehr des Opfers sammeln und analysieren. Passend dazu kann Skygofree unbemerkt die Frontkamera des Smartphones einschalten und immer dann ein Foto knipsen, wenn das Gerät entsperrt wird. Aber das ist längst nicht alles: Skygofree überwacht auf Smartphones weit verbreitete Apps wie WhatsApp, Facebook, Skype und Viber. Bei WhatsApp kann der Trojaner etwa Nachrichten mitlesen und den Angreifern einen Mitschnitt übermitteln. Skygofree kann zudem Anrufe, SMS-Nachrichten, Kalendereinträge und andere Benutzerdaten abfangen.

10. Legaler Bundestrojaner für Online-Durchsuchungen

So, wie sich Kriminelle per Trojaner Zugang zu fremden Systemen verschaffen, so nutzen Strafverfolgungsbehörden entsprechende Software. Diese wird im Programm zur Stärkung der inneren Sicherheit der deutschen Bundesregierung von 2006 als Maßnahme umschrieben, „entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein“. Der Bundestrojaner ist umstritten, da immer wieder eine missbräuchliche Nutzung nachgewiesen wurde. Seit 2017 ist die rechtliche Grundlage für Online-Durchsuchungen in der Strafprozessordnung geregelt und nur in bestimmten Fällen zulässig.

Rootkit-Trojaner: Diese klammern sich mit besonders _esen Methoden in Ihr System. Wie Sie sich schützen, lesen Sie im folgenden Artikel.

Trojaner mit Kaspersky Rescue Disk 18 beseitigen

Erkennen und entfernen Sie Viren, Würmer und Verschlüsselungs-Trojaner, ohne dass die Schädlinge eine Chance haben, sich gegen eine Desinfektion zu wehren.

Bootfähiges Medium vorbereiten
Kaspersky Rescue Disk ist eine Notfall- CD, die als bootfähiges Erste-Hilfe-System unabhängig von Windows startet. Um die Software nutzen zu können, müssen Sie die ISO-Abbilddatei von der Heft-DVD auf CD brennen oder einen USB-Stick bootfähig machen. Die Tools und Anleitungen dazu _nden Sie ebenfalls auf der Heft-DVD

In den Einstellungen des Kaspersky-Scanners können Sie die Suchschärfe anpassen.


2 Rettungssystem booten

Booten Sie den PC mit der Live-CD oder dem USB-Stick. Das System startet das von Kaspersky angepasste Linux-Betriebssystem - das kann etwas dauern. Damit der Virenscanner auch die neuesten Schädlingsvarianten erkennt, wird die Virendatenbank beim Start automatisch aktualisiert. Dazu verbindet sich das System selbstständig mit einem Router, sofern der Computer per Ethernetkabel verbunden ist.

3 Schädlinge aufspüren

Im englischsprachigen Kaspersky Rescue Tool beginnen Sie die Malware-Suche mit einem Klick auf die grüne Schalt_äche Start Scan. Der Kaspersky-Scanner überprüft nun alle gewählten Datenträger der Reihe nach. Die Statusanzeige informiert Sie dabei über den Fortschritt der Suche. Werden Schädlinge auf einem Laufwerk erkannt, erscheint ein Menü, in dem Sie das weitere Vorgehen und die entsprechenden Aktionen auswählen.

Fünf kostenlose Sicherheits-Tools auf Heft-DVD

Programmname Kurzbeschreibung

Avira Free Security 2020 Das seit Jahren bewährte Programm schützt Windows-Rechner mitsamt aller Daten vor digitalen Schädlinge jeglicher Art. Potenzielle Bedrohungen verschiebt das Tool in einen gesicherten Quarantäne-Bereich.

Malwarebytes Malware Scanner Die Software erkennt jegliche Arten von Trojanern, Spyware, Bots, Adware und andere Schädlinge. Diese lassen sich anschließend unter Quarantäne stellen oder vom Rechner entfernen.

Spybot - Search & Destroy Trojaner, Spyware, Adware, Malware, Tracking-Cookies und verdächtige Änderungen an der Registry spürt das Programm zuverlässig auf. Eine Immunisierung der Webbrowser sorgt für zusätzliche Sicherheit.

RogueKiller Das Tool _ndet potenziell gefährliche Prozesse und listet sie nach einem System-Scan auf. Bösartige Programme, die aktuell versteckt im Hintergrund laufen, lassen sich auf Mausklick beenden.

GlassWire Die Firewall überwacht den kompletten Netzwerkverkehr und meldet alle ein- und ausgehenden Verbindungen ins Internet.