defense.at Onlinemagazin

Trojaner, Die Gefahr aus dem Hintergrund

Ein Trojaner ist in der IT ein Programm, welches Schaden anrichten kann, sich aber vor dem Nutzer versteckt.

Immer wieder hört man in den Nachrichten von „Trojanern“, die tausende Computer infiziert haben sollen. Aber was verbirgt sich eigentlich dahinter? Was sind Trojaner? Wie gefährlich sind sie? Und was kann man tun, um sie schnellstmöglich zu entfernen?

Aus jedem simplen Virus oder Wurm kann mit entsprechenden Zusatzprogrammen ein Trojanisches Pferd oder kurz Trojaner werden. Trojaner werden oft als Programme bezeichnet, die vorgeben, etwas Nützliches oder Wünschenswertes zu tun (dies vielleicht auch wirklich machen), die jedoch gleichzeitig eine bestimmte Aktion ausführen, die vom Opfer nicht erwartet oder gewünscht wurden. Zu diesen Aktionen gehören beispielsweise das Ausspähen von Passworten oder die totale Zerstörung des Wirtssystems.

Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors) ein, durch die ein Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen.

Ein trojanisches Pferd kann sich nur von einem System zum nächsten fortpflanzen, wenn der Benutzer dazu "überredet" werden kann, es zu übertragen. Trojanische Pferde beinhalten keine eigene Infektionsroutine.

Was ist ein Trojaner?

Hinter der Bezeichnung „Trojaner“ verbergen sich Schadprogramme, die sich auf einem Computer einnisten und dann unbemerkt von den Benutzern ihre Arbeit aufnehmen. Ihren Namen haben die Programme von dem trojanischen Pferd aus der griechischen Mythologie. Dabei handelt es sich um eine Kriegslist, die die Griechen in der Schlacht um die Stadt Troja eingesetzt haben.

Weil die Mauern der Stadt für das griechische Heer unüberwindbar waren, überlegten sie sich einen Plan, mit dem sie Troja ganz einfach einnehmen konnten. Sie bauten ein riesiges Holzpferd und stellten es im Schutz der Nacht vor den Stadttoren ab. Die Trojaner sahen das Geschenk als Friedensgeste an und zogen das Pferd in die Stadt.

Allerdings wussten sie nicht, dass das Holzpferd in seinem Bauch einen Hohlraum hatte, in dem sich einige griechische Soldaten versteckt hielten. Als es Nacht wurde, kletterten die Griechen aus dem Pferd, öffneten die Tore und überraschten die Trojaner im Schlaf.

Weil manche Schadprogramme auf ähnliche Weise hinterrücks angreifen und ihre Arbeit im Verborgenen erledigen, wurden sie an Anlehnung an das trojanische Pferd schlicht als „Trojaner“ bezeichnet.

Wie funktioniert ein Trojaner?

Damit der Trojaner auf einen Computer gelangen kann, muss ein Nutzer ihn herunterladen. Dazu wird die Schadsoftware als vermeintlich harmlose Datei getarnt. Hacker verkleiden einen Trojaner gerne als kleines Tool wie ein kostenloses Schnittprogramm oder einen Videoplayer. Aber auch DLL-Dateien oder Bilder dienen oft als Fassade für den Trojaner. Die verseuchten Dateien werden dann entweder auf Online-Plattformen als „echte“ Software zum Download angeboten oder per E-Mail als Datenanhang oder Link zum Herunterladen verschickt.

Wenn ein Nutzer sich den getarnten Trojaner herunterlädt und die Datei öffnet, passiert nichts – so wirkt es zumindest. Denn ein Benutzer bekommt von der Infektion mit einem Trojaner nichts mit. Das heruntergeladene Programm startet nicht oder es wird eine Fehlermeldung angezeigt. Der Benutzer ist dann vielleicht verwirrt, aber er sucht sich einfach ein anderes Programm und vergisst den Vorfall.

Der Trojaner arbeitet derweil unbemerkt im Hintergrund weiter. Er installiert sich selbstständig und führt dann seine vorgesehene Funktion aus. Wenn man nicht weiß, dass die Schadsoftware vorhanden ist, bekommt man kaum etwas davon mit. Der Computer reagiert vielleicht etwas langsamer oder stürzt öfter mal ab. Es tauchen aber keine Anzeigen auf, die auf den Befall mit einem Trojaner hinweisen könnten.

Bei den Endgeräten sind Trojaner sehr vielfältig. Es gibt sie für Computer, Tablets und auch Handys. Das Bundesamt für Sicherheit in der Informationstechnik hat unter anderem festgestellt, dass auf manchen China-Handys schon von Werk aus Spionage-Programme installiert wurden. Betroffen waren unter anderem Handys der Marke Doogee, Keecoo und VKworld.

Verschiedene Formen von Trojanern

Trojaner gibt es in verschiedenen Ausführungen und mit unterschiedlichen Aufgaben. Sie können unter anderem mit einem Trojan-Baukasten erstellt werden. Dazu benötigt man nicht mal viel Hintergrundwissen. Mit ein paar Klicks kann man festlegen, welche Funktion der Trojaner erfüllen soll und was den Nutzern vorgegaukelt wird. Im Gegensatz zu einem Computervirus sind Trojaner aber nie darauf ausgelegt Daten zu verstören. Sie sollen eher Daten sammeln oder verändern. Unter anderem gibt es diese Formen:

Backdoor-Trojaner:

Ein Backdoor-Trojaner öffnet einen Zugang zu einem Computer oder einem Mobilgerät. Ein Hacker kann diesen Zugang nutzen, um persönliche Daten auf dem Computer wie Bilder, Dokumente oder e-Mails auszuspionieren.

Trojan-Banker:

Mit dem Trojan-Banker werden explizit Bank- und Zahlungsdaten ausgespäht. Ein Hacker erlangt dadurch Zugang zum Zahlungsverkehr und kann auf Kosten der Nutzer der infizierten Geräte Geld überweisen oder online einkaufen gehen.

Trojan-DDoS:

Ein Trojan-DDoS verwandelt einen infizierten Computer in einen Sender einer DDoS-Attacke. Der Computer steuert zusammen mit hunderten anderen infizierten Geräten bestimmte Internetseiten oder Server an. Die Server werden durch die Masse an gleichzeitigen Anfragen überlastet und brechen zusammen. Auf diese Weise können Hacker gezielt bestimmte Internetseiten vorübergehend abschießen. Sie zwingen die Betreiber der Seiten dann zur Zahlung von Lösegeld, bevor sie die DDoS-Attacken wieder einstellen.

Trojan-Downloader:

Trojan-Downloader haben die Funktion, dass sie nach ihrer Installation selbstständig andere Malwareprogramme aus dem Internet herunterladen. Sie verseuchen einen Computer auf diese Weise zum Beispiel mit einem Computer-Virus oder einem Wurm. Viele Trojan-Downloader laden auch andere Trojaner herunter, die wiederum Zugriff auf empfindliche Dateien freigeben.

Trojan-Ransom:

Immer häufiger tauchen Trojaner auf, die den Computer quasi als Geisel nehmen. Die Schadprogramme schreiben nach ihrem Eindringen wichtige Dateien auf dem Computer des ahnungslosen Benutzers um. Dann startet der PC unvermittelt neu oder stürzt schlicht ab. Es wird bei dem folgenden Neustart aber nicht das gewohnte Betriebssystem gestartet. Stattdessen taucht eine Meldung auf dem Bildschirm auf, dass der Computer gesperrt wurde. Wenn die Nutzer wieder auf ihre Dateien zugreifen wollen, müssen sie Geldsummen oder Krypto-Währungen wie Bitcoin an ein Online-Konto überweisen. Im Austausch für dieses „Lösegeld“ sollen sie dann von den Hackern erfahren, wie sie die Erpressungssoftware ausschalten und wieder wie gewohnt den Computer nutzen können.

Bekannte Beispiele für Trojaner

Jedes Jahr werden dutzende neue Trojaner entdeckt, die von Hackern für verschiedene Zwecke entwickelt werden. Aber nur wenige dieser Programme sind so verbreitet, dass sie überhaupt eine Bekanntheit erreichen.

Der bekannteste Trojaner der letzten Jahre ist ein Trojan-Ransom, der allgemein als „BKA Trojaner“ bezeichnet wird. Das Programm sperrt den Computer und lässt eine Nachricht auftauchen, nach der angeblich das Bundeskriminalamt auf dem Computer verdächtige Aktionen beobachtet haben soll. Der PC wurde aus diesem Grund gesperrt. Die Nutzer sollten sich die Freigabe ihrer Daten „erkaufen“, aber auch nach der Zahlung blieb ein befallener Computer gesperrt. Wer hinter dem Programm steckt, konnte nicht geklärt werden.

Ein anderer Trojaner mit Bekanntheit heißt „Emotet“. Die Schadsoftware ist eine Mischung aus Spionage-Programm und Trojan-Download. Auf der einen Seite spioniert Emotet aktuelle Kontakte von E-Mail-Postfächern aus und verschickt sich automatisch an die häufigsten Kontakte. Dabei wird eine fingierte E-Mail geschrieben, in der der Anhang besonders wichtig dargestellt wird. Auf der anderen Seite lädt Emotet andere Viren und Trojaner auf einen infizierten PC herunter, um zum Beispiel Kontodaten der Nutzer auszuspionieren. Auch bei Emotet ist noch nicht bekannt, wer eigentlich hinter der Entwicklung des Trojaners steckt.

Lässt sich ein Trojaner erkennen?

Es gibt ein paar Indizien, die darauf hinweisen, dass eine Datei nicht das sein könnte, was sie verspricht. Dazu gehören unter anderem:

Angst machende E-Mails:

Wenn man eine vermeintlich seriöse E-Mail erhält, in der die Angst vor Online-Gefahren geschürt wird oder die eine angebliche Mahnung für Online-Zahlungen enthält, ist das immer gefährlich. Meistens sind diese Nachrichten zwar sehr gut gemacht, enthalten aber statt einer Mahnung oder einem hilfreichen Link nur Malware wie einen Trojan-Ransom. Links oder Anhänge aus e-Mails unbekannter Empfänger sollten deshalb auf keinen Fall angeklickt werden!

Kostenlose Downloads:

Kostenlose Downloads sind ebenfalls eine gute Quelle, um Trojaner zu verbreiten. Gerade die kostenfreien Varianten von eigentlich kostenpflichtigen Programmen oder Spielen sind eine häufige Quelle für Malware.

Exe-Dateien:

Ein Trojaner ist ein kleines Programm. Darum benötigt es eine exe-Datei, um sich zu installieren. Wenn man eine Datei aus dem Internet herunterlädt, die nur eine einzelne exe-Datei enthält oder bei der „exe“ am Ende steht, sollten Nutzer hellhörig werden. Auch Dateien, die unter Windows Dateiendungen anzeigen, obwohl man die Option zur Ausblendung eingestellt hat, sind ein klarer Hinweis für Schadprogramme!

Trojaner entfernen – So geht es

Auch wenn die Trojaner sich gut verbergen, können sie trotzdem relativ einfach entfernt werden. Dafür benötigt man einen Virenscanner mit einer aktuellen Viren-Definition. Ein Virenscanner ist eine Sicherheitssoftware, die die Aktivitäten eines Computers überwacht und heruntergeladene Daten auf Auffälligkeiten überprüft. Wenn die Software verdächtige Ereignisse registriert, unterbindet sie das Programm und die zugehörigen Daten sofort. Die Nutzer können mit dem Programm dann die verdächtigen Daten bequem und ohne Gefahren vom Computer entfernen.

Es gibt auch Tools wie einen Trojan Remover, der speziell nach Trojanern sucht und diese löscht, sobald sie auffällig werden. Solche Programme bieten aber keinen zusätzlichen Schutz vor neuen Infektionen. Wer es noch etwas bequemer mmöchte, kann auch online auf speziellen Internetseiten überprüfen lassen, ob auf dem PC aktuell ein Trojaner versteckt ist. Bei einem Fund wird dann auch direkt das passende Werkzeug zur Entfernung der Bedrohung angeboten.

Da Trojaner darauf ausgelegt sind, sich möglichst hartnäckig in ein System zu verankern und sich auch nicht immer mit Virenscannern oder Removern entfernen lassen, sollten Nutzer unbedingt regelmäßige Backups ihrer Daten anlegen und extern speichern. Wenn ein Computer von einem Trojaner befallen wurde, der sich nicht mehr entfernen lässt, dann hilft oft nur noch eine komplette Neuinstallation des Systems. Mit einem Backup sind wichtige Daten dann nicht verloren, sondern lassen sich mit wenigen Klicks wiederherstellen.

Quellen:
www.kaspersky.de/resource-center/threats/trojans
www.otto.de/updated/ratgeber/so-erkennen-und-entfernen-sie-einen-trojaner-6542/
www.was-ist-malware.de/allgemeine-vorgehensweise-um-einen-trojaner-entfernen-zu-koennen/
www.computerbild.de/artikel/cb-News-Handy-Android-Malware-BSI-20027447.html
www.bundespolizei.de/Web/DE/02Sicher-im-Alltag/05Weitere-Themen/02_BKA-Trojaner/BKA-Trojaner_node.html
www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html