Achtung: Die fiesen Tricks nutzen Trojaner

Seit über 30 Jahren machen Viren PCs auf aller Welt unsicher, inzwischen gefährden sie selbst Atomkraftwerke und attackieren Behörden. Mittlerweile gibt es weit über 1 Milliarde Computerviren, jeden Monat kommen Millionen dazu. Allein in den letzten 12 Monaten verzeichneten die Sicherheitsforscher von AV-Test über 120 Millionen Schädlinge und unerwünschte Software (PUA). (Quelle: https://portal.av-atlas.org/). Bei einem Großteil (knapp 60 Prozent) handelt es sich im sogenannte Trojaner. Gerade erst warnte das Landeskriminalamt Niedersachsen vor dem Trojaner Emotet, der in den letzten Wochen viel Schaden anrichtete. Aber was macht diesen Virentyp so gefährlich und welche Tricks nutzen die Macher zur Verbreitung?

Trojaner machen mit knapp 60 Prozent einen Großteil aller Windows-Schädlinge aus (Quelle: AV-Test).
Trojaner machen mit knapp 60 Prozent einen Großteil aller Windows-Schädlinge aus (Quelle: AV-Test).

Was sind Trojaner?

Ein Trojaner (auch „Trojanisches Pferd“) genannt ist ein bestimmter Schädlingstyp, der seinen wahren Inhalt verbirgt.  Um sich interessant zu machen geben Sie vor, eine bestimmte Funktion zu haben. Tatsächlich verfolgen sie aber ganz andere Ziele, zum Beispiel unauffällig im Hintergrund Schädlinge nachladen oder persönliche Daten ausspionieren. Genau wie das hölzerne Pferd, das zur Plünderung Trojas diente, ist der wahre Inhalt, den ein Trojaner mit sich führt, dem Benutzer also unbekannt.  Ihr großer Vorteil: Sie bestehen oft lediglich aus wenigen Zeilen Programmcode und können sich daher gut verstecken. Immerhin können sie sich nicht selbst vermehren, was sie von Viren und Würmer unterscheidet.

Spezielle Trojaner-Typen

Zu den gängigen Arten zählen:

  • Backdoor-Trojaner: Ermöglicht Hackern den Fernzugriff und die Fernsteuerung eines Computers mit dem Ziel, Dateien nach Belieben hoch- oder herunterzuladen oder auszuführen.
  • Exploit-Trojaner: Diese Variante injiziert einem Rechner Schadcode, der dazu dient, Sicherheitslücken in bestimmten Programmen auszunutzen.
  • Rootkit-Trojaner: Diese Trojaner sollen verhindern, dass andere Schädlinge entdeckt werden, die einen Computer bereits infiziert haben.
  • Banking-Trojaner: Zielen speziell auf persönliche Daten ab, die für Bankgeschäfte und andere Online-Transaktionen zum Einsatz kommen.
  • Distributed Denial of Service (DDoS)-Trojaner: Sind so programmiert, dass sie DDoS-Angriffe durchführen. Darunter versteht man einen Angriff auf einen Internetserver mit dem erklärten Ziel, ihn lahm zu legen.
  • Downloader-Trojaner: Hierbei handelt es sich um Dateien, die geschrieben werden, um zusätzliche Malware, oft auch mehr Trojaner, auf ein Gerät herunterzuladen.
  • Supertrojaner: Hinter diesen Trojaner stecken keine Cyberkriminellen, sondern Geheimdienste oder Organisationen mit staatlicher Rückendeckung. Das Ziel ist oft Infrastruktur wie Kraftwerke oder Industrieanlagen.

Spezialfall Erpressungs-Trojaner

Für besonders viel Wirbel sorgen in letzter Zeit aber vor allem Erpressungs-Trojaner, auch unter der Bezeichnung Ransomware bekannt. Dabei handelt es sich um Trojaner, die ihre Opfer auf Lösegeld erpressen. Sie zählen aktuell zur größten Bedrohung für PC-Nutzer. Das Schema ist bei allen gleich. Der Schädling agiert erst einmal heimlich im Hintergrund bis er den Sperrmechanismus startet. Dann melden sich die Erpresser per Bildschirmnachricht. Die Drohung: Nur, wenn Geld fließt, lasse sich der Computer wieder starten beziehungsweise die verschlüsselten Daten wieder abrufen. Jüngstes prominentes Opfer: Die Navigationsexperten von Garmin. Der Hersteller sah sich Ende Juli mit einem kompletten Ausfall seiner Dienste und Produktionsstätten zu kämpfen. Wie Garmin später bestätigte, steckte ein Ransomware-Angriff dahinter. Damit der Betrieb seine Geschäfte fortsetzen konnte, zahlte er wohl einen Millionenbetrag.

Bei größeren Netzwerkstrukturen – wie von Unternehmen und Behörden – gehen die Angreifer in der Regel besonders koordiniert vor. Die Verschlüsselung von verschiedenen Bereichen starten sie gleichzeitig, sodass den Administratoren kaum Zeit für Gegenmaßnahmen bleibt. Sind die Daten dann erst einmal verschlüsselt und es existiert weder eine aktuelle Datensicherung noch Tools zur Entschlüsselung, bleibt dann meist nicht anderes übrig, als das Lösegeld zu zahlen. Ansonsten würde der wirtschaftliche Verlust von Minute zu Minute steigen.

Neue Masche RAT-Trojaner

Derzeit explodieren die Meldungen über neue Schadprogramme, mit denen Hacker Angriffe durchführen und PCs fernsteuern. In den Meldungen ist wegen des englischen Worts „rat“ häufig das Bild einer Ratte zu sehen. RAT ist jedoch die Abkürzung von „Remote Access Trojan“ bzw. „Remote Administration Tools“. Das ist eine Malware, mit denen sich PCs aus der Ferne steuern lassen. Möglich sind der Zugriff aufs Dateisystem, die Windows-Einstellungen ändern und Programme. Einige RAT-Trojaner zeichnen auch Tastatureingaben auf („Keylogger“), um auf die Weise an Zugangsdaten sowie vertrauliche Kreditkarten- und Sozialversicherungsnummern zu kommen. Mit einigen Varianten wie NanoCore RAT, können Angreifer sogar das Mikrofon und die Webcam übernehmen. Die Schadprogramme starten zunächst einen harmlosen, zulässigen Prozess, dass bei einigen Antiviren-Programmen keinen Alarm auslöst. Die Ausführung dieses Prozesses wird dann aber unterbrochen, der Programmcode durch schädlichen Code aus dem Speicher ersetzt und der Prozess erneut gestartet. Die technische Bezeichnung für diese Hacker-Technik lautet „RunPE“ (Ausführen einer vorinstallierten Umgebung, englisch „Preinstalled Environment“).

Verführerische Köder

Doch wie kommen die Trojaner auf die Rechner ihrer Opfer? Besonders beliebt bei Cyberkriminellen ist die Verbreitung per E-Mail samt infizierten Anhang. Dabei kann es sich um ausführbare Programme handeln, aber auch Dokumente, Fotos, PDFs und ZIP-Dateien. Ein unüberlegter Doppelklick reicht, und der Trojaner macht sich ans Werk. Genau gefährlich wie Dateianhänge sind Links zu manipulierten Internetseiten.  Warum Nutzer immer wieder auf diese Maschen hineinfallen? Oft handelt es sich anscheinend um vertrauenswürdige Absender, der Empfänger persönlich angeschrieben und mit einer wichtigen und dringenden Aufgabe konfrontiert. Der Dateianhang beziehungsweise Link dient dann zur Lösung des Problems. Auch wenn nur wenige Empfänger in die Falle tappen, ist das Geschäft einträglich.

Da sich Trojaner und anderer Schadcode oft über Mailanhänge verbreiten, lautet der wichtigste Tipp, Anhänge von unbekannten Versendern nie unüberlegt und ungeprüft zu öffnen. Besondere Vorsicht gilt bei Office-Dokumenten. Hier auf keinen Fall Makros zulassen, selbst wenn ein Office-Programm dazu auffordert. Weitere Fragen, die man sich vor dem Öffnen von Anhängen stellen sollte: Kenne ich den Versender? Ist die Absender-Adresse vollständig richtig? Hat der Absender eine ungewöhnliche Domain-Endung?

Fazit

Trojaner sind zweifelsohne gefährlich und eine der größten Bedrohung für die IT-Sicherheit. Mit einem guten Antivirenprogramm, Skepsis und gesundem Menschenverstand lassen sich die meisten Trojaner allerdings wirksam abwehren.