Trojaner erkennen

Sind Ihre Systeme unterwandert?

19.07.2021
Von  und
David Balaban schreibt unter anderem für unsere US-Schwesterpublikation CSO Online.
Daniel Fejzo ist freier Mitarbeiter der Redaktion COMPUTERWOCHE.
Trojaner gibt es in den unterschiedlichsten Varianten. Gemein ist ihnen, dass ihre Opfer sie aktivieren müssen. Diese Trojaner sollten Sie kennen.
Trojaner unterwandern IT-Systeme und können erheblichen Schaden anrichten. Diese 17 schadhaften Ausformungen sollten Sie kennen.
Trojaner unterwandern IT-Systeme und können erheblichen Schaden anrichten. Diese 17 schadhaften Ausformungen sollten Sie kennen.
Foto: Skilful - shutterstock.com

Ähnlich wie das berühmte hölzerne Pferd aus der Ilias lassen Trojaner die User über ihre eigentlichen Absichten im Unklaren. Die bösartige Software muss vom Opfer - oder durch ein anderes Schadprogramm - aktiviert werden. Üblicherweise schleicht sich der Schadcode unter dem Deckmantel eines nützlichen Tools in das Zielsystem. Einmal eingeschleust, soll er:

  • Benutzer- oder Systemdaten löschen, ändern, kopieren oder verschlüsseln;

  • Daten empfangen und verschicken;

  • Computer oder Netzwerke verlangsamen;

Trojaner erkennen - 17 Typen

Trojaner haben mit der Zeit immer komplexere Formen angenommen, zum Beispiel Backdoors, die Fernzugriff auf Rechner erlauben, oder Downloader, die andere Schadprogramme herunterladen und installieren können. Vor den folgenden Trojaner-Typen sollten Sie sich in Acht nehmen.

1. ArcBombs

ArcBombs sind spezielle Archive, die sich beim Entpacken durch den User ungewöhnlich verhalten. Dabei frieren sie das infizierte System entweder ganz ein oder verlangsamen es erheblich. Um ihr Ziel zu erreichen, nutzen sie oft manipulierte Header oder beschädigte Daten, die eine Fehlfunktion beim Archivprogramm oder dem Entpackungs-Algorithmus auslösen. Sie können auch Objekte enthalten, die aus sich wiederholenden Datensätzen bestehen und in ein kleines Archiv gepackt werden. Beispielsweise komprimieren die Angreifer 10GB an Daten in ein 400KB großes Archiv.

2. Backdoors

Backdoors erlauben es Kriminellen, einen Rechner aus der Ferne zu kontrollieren. Die Angreifer können so eine Vielzahl der Funktionen des infizierten Computers nutzen, um zum Beispiel Daten zu empfangen, zu senden, zu löschen oder auszuführen. Des Weiteren können sie Warnungen auf dem Bildschirm anzeigen oder den PC rebooten. Auch Third-Party-Code kann via Backdoor in das betroffene Gerät eingeschleust werden. Auf diese Weise lassen sich etwa Tastatureingaben aufzeichnen (wenn der Schadcode als Keylogger agiert) sowie Kamera und Mikrofon nach Belieben ein- und ausschalten. Manchmal werden Backdoors zur Verwaltung mehrerer infizierter Rechner (oder IoT-Devices) herangezogen, welche dann wiederum in ein Botnet eingebunden sind.

Ein anderer Backdoor-Typus kann sich, ähnlich wie ein Wurm, über das gesamte Netzwerk ausbreiten - allerdings nicht automatisch, sondern nur auf Befehl der Angreifer.

3. Banking-Trojaner

Banking-Trojaner sollen vertrauliche Daten wie Login-Informationen, Passwörter, SMS-Authentifizierungen oder Bankkarteninformationen abschöpfen.

Der 2014 entdeckte Trojaner Emotet sollte ursprünglich Bankdaten stehlen. In späteren Versionen kamen Spam-Funktionen und Optionen zum Download von Malware hinzu.

Der im Jahr 2016 programmierte Trickbot ist immer noch einer der prävalentesten Banking-Trojaner. Neben Bankdaten soll er auch Kryptowährungen und speziell BitCoin Wallets kompromittieren. Der Trojaner besteht aus diversen Modulen, die an eine Konfigurationsdatei gekoppelt sind. Die Module haben jeweils spezielle Aufgaben wie Anmeldeinformationen zu stehlen oder Daten zu verschlüsseln. Gehackte WLAN-Router werden dabei als Command-and-Control-Server verwendet.

4. Clicker

Diese Trojaner dienen dem Zugriff auf Internetseiten und Server. Wenn Clicker im Hintergrund Befehle an den Browser senden, fällt das dem User in der Regel nicht auf. Diese Art von Trojaner kann Windows-Host-Files ersetzen, in denen Standardadressen abgelegt sind. Konkret werden sie verwendet, um:

  • Webseiten-Traffic zu erhöhen und mehr Werbeeinnahmen zu generieren,

  • DDoS-Angriffe einzuleiten sowie

  • mögliche Opfer auf Seiten weiterzuleiten, die Malware enthalten.

5. DDoS-Trojaner

Mit DDoS-Trojanern soll eine Denial-of-Service-Attacke angestoßen werden, die auf die IP-Adresse des Opfers abzielt. Während einer solchen Attacke wird der Zielrechner mit einer Anfragenflut überschwemmt und so seine Funktionalität gestört. Um eine erfolgreiche DDoS-Attacke auszuführen, müssen Cyberkriminelle eine Vielzahl von Geräten mit dem Trojaner infizieren. Das wird häufig mit Hilfe von Spam oder Phishing bewerkstelligt. Sobald dazu ein Botnet bereitsteht, können die Opfer simultan ins Visier genommen werden.

6. Downloader

Downloader laden Schadsoftware, inklusive anderer Trojaner, herunter und führen sie aus. Informationen über den Standort und Namen der herunterzuladenden Software wird entweder im Trojaner selbst gespeichert oder aber von den Servern bezogen, über die der Angreifer operiert. Downloader werden oft genutzt, um einen Fuß in die Tür zu bekommen. Ahnungslose User werden dazu oft auf Websites gelotst, die Exploits enthalten. Diese schleusen wiederum die Downloader ein, die weiterem Schadcode Tür und Tor öffnen.

7. Dropper

Diese Trojaner istallieren Malware heimlich. Die Schadsoftware ist dazu tief im Code des Droppers versteckt. Das soll Antivirusprogramme in die Irre führen, da diese oft nicht den gesamten Dropper analysieren können. Diese Art von Trojaner wird normalerweise im temporären Windows-Verzeichnis gespeichert und ohne Benachrichtigung des Opfers aktiviert.

8. FakeAV-Trojaner

FakeAV imitiert Antivirus-Tools und zeigt den Benutzern falsche Sicherheitswarnungen an. Um die vermeintliche Sicherheitslücke zu beheben, muss ein Geldbetrag bezahlt werden. Unerfahrene Opfer werden zudem dazu verleitet, Vollversionen der FakeAVs herunterzuladen und so die nicht-existente Bedrohung "abzuwehren".

9. Game Thieves

Ähnlich wie Banktrojaner wollen Game Thieves vertrauliche Informationen abgreifen. Dabei geht es ihnen weniger um Finanzinformationen als um Online-Gaming-Accounts. Hat der Trojaner die gewünschten Daten, leitet er sie mittels E-Mail, FTP oder anderer Transfermethoden an die Hacker weiter.

10. Instant-Messaging-Trojaner

IM-Trojaner stehlen Login-Daten zu Instant-Messaging-Applikationen wie Skype oder WhatsApp. Wie bei Game Thieves werden die Infos via E-Mail, FTP oder Webrequests exportiert.

11. Loader

Bei einem Loader handelt es sich um ein kleines Stück Software, das zur Installation eines vollwertigen Virusprogramms benötigt wird. Loader können ein System auf verschiedene Weisen infiltrieren, etwa wenn das Opfer eine infizierte Bilddatei betrachtet. Während dieses Vorgangs verbindet sich der Trojaner mit einem Server, was den Download aller verbleibenden Viruskomponenten initiiert.

12. Mailfinder

Mailfinder stehlen E-Mail-Adressen, die Hackern als Datenbasis für Spam- und Phishing-Kampagnen dienen.

13. Notifier

Diese Art von Trojaner sendet Informationen über den Status infizierter Geräte an die Angreifer. Die Daten können beispielsweise Informationen über offene Ports, installierte Software oder ausgeführte Applikationen enthalten. Notifier sind oft Teil komplexer Angriffe mit Mehrkomponenten-Malware. Die Voraussetzung für "Erfolg" ist, dass die Angreifer alle Teile ihrer Schadsoftware erfolgreich installieren.

14. Proxies

Proxies erlauben kriminellen Hackern, unbemerkt über einen infizierten Rechner Zugriff auf eine Website zu erhalten. Oft werden über die IP-Adresse des Opferrechners Spam-Mails verschickt.

15. Passwordstealing-Ware

Passwordstealing-Ware ist speziell darauf konzipiert, Passwörter zu stehlen. Diese Trojaner können gezielt nach Login-Informationen suchen, die User in Dateien oder Webbrowsern abgespeichert haben. Manche Varianten sind sogar dazu in der Lage, Softwarelizenzen oder Systempasswörter abzugreifen.

16. Ransom-Trojaner

Erpressungstrojaner können Daten verschlüsseln, den Zugriff auf einen Rechner blockieren und diesen so unbrauchbar machen. Die Angreifer bieten ihrem Opfer an, die Verschlüsselung gegen die Zahlung eines Lösegeldes wieder rückgängig zu machen. Solche Trojaner erfreuen sich weiterhin großer Beliebtheit - kein Wunder, schließlich erbeuten Cyberkriminelle auf diesem Weg regelmäßig Millionenbeträge.

17. SMS-Trojaner

Diese Programme senden SMS-Nachrichten an kostenpflichtige Rufnummern. Manchmal kommen SMS-Trojaner auch zum Einsatz, um Zwei-Faktor-Authentifizierungen auszuhebeln.

Trojaner finden - Symptome & Schutzmaßnahmen

Alle Trojaner bestehen aus einem Server und einem Client. Der Client verbindet sich mit dem Server mit Hilfe eines TCP/IP-Protokolls. Außerdem kann der Client unter Umständen über ein User Interface sowie einige Input-Felder oder Buttons zur Fernverwaltung verfügen.

Der Serverteil wird dann auf dem Zielrechner installiert, führt die Befehle des Clients aus und transferiert verschiedene Daten. Ist der Trojaner eingeschleust, wartet der Server auf Befehle von einem speziellen Port, den der Angreifer anpingt. Wenn der Serverteil erfolgreich installiert wurde, antwortet er mit der IP-Adresse des Computers sowie dessen Netzwerknamen.

Misstrauisch sollten Sie werden, wenn Sie folgende Symptome an Ihrem Rechner feststellen:

  • neue Applikation erscheinen im Start-Menü

  • falsche Sicherheitswarnungen "informieren" über Viren, Porno-Downloads, etc.

  • unerwartete Screenshots

  • Sound- oder Fotodateien werden "ungefragt" abgespielt

  • plötzliche Boot-Vorgänge

Die meisten Trojaner bedürfen einer Form der User-Interaktion, beispielsweise auf einen E-Mail-Anhang zu klicken oder Macros in Office-Dokumenten zuzulassen. Der beste Schutz ist also, das eigene Klickverhalten zu hinterfragen.

Darüber hinaus sollte Ihre Software immer auf dem neuesten Stand sein, insbesondere Systemsoftware, Antivirusprogramme und Webbrowser. Oft versuchen Cyberkriminelle, Sicherheitslücken in diesen Programmen auszunutzen. Verwenden Sie außerdem Firewalls, um eine sichere Internetverbindung aufbauen zu können. Viele Firewalls sind zudem in der Lage, bösartigen Traffic auszusortieren.

Angesichts der Vielzahl von Trojaner-Typen kann es keine Patentlösung in Sachen Sicherheit geben. Im ersten Schritt sollten Sie temporäre Ordner bereinigen, bösartige Einträge in der Registry aufspüren und diese im abgesicherten Modus manuell entfernen. Die besten Antivirus-Tools können Trojaner automatisch aufstöbern.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.