Was sind Trojaner? Schadsoftware im Tarnmantel – wie sie funktionieren, erkannt und entfernt werden können
Was bedeutet eigentlich der Begriff Trojaner?
Als Trojaner wird eine Software bezeichnet, die unbemerkt oder unter Vortäuschung falscher Tatsachen andere – in den allermeisten Fällen schädliche – Software auf einem System herunterlädt und installiert. Trojaner sind somit Spione, Träger und Türöffner, die helfen, andere Software „im Huckepack“ auf Computer, Tablets oder Smartphones zu befördern oder Daten zu erbeuten.
Der Begriff Trojaner entstammt der berühmten historischen Sage, in der es den alten Griechen mit Hilfe einer Täuschung gelang, die unbezwingbare Stadt Troja einzunehmen: Sie schleusten viele Hunderte Soldaten im Bauch eines riesigen hölzernen Pferdes in den Kern der antiken Stadt. Das trojanische Pferd wurde den Bewohnern der Stadt als Geschenk angepriesen, welches sie in großer Dankbarkeit annahmen – ohne das drohende Unheil im Inneren der Holzfigur zu erahnen.
Software-Trojaner funktionieren ganz ähnlich: Sie gaukeln dem Opfer vor, nützlich zu sein – und laden anschließend ungewünschte Software herunter. Alternativ nisten sie sich komplett unbemerkt in das Betriebssystem des Opfers ein und spionieren Daten, Tastaturanschläge und Passwörter aus. Auch wenn es harmlose Trojaner gibt, die lediglich „nützliche“ oder zumindest nicht-schädliche Software im Hintergrund herunterladen, hat die überwiegende Mehrheit der Trojaner das Ziel, dem betroffenen System Schaden zuzufügen bzw. Daten zu stehlen.
Trojaner sind die älteste Form der Schadsoftware (Malware), die es gibt. Die ersten Trojaner kamen bereits Mitte der 1970er Jahre in Form eines vermeintlichen Computerspiels namens „Animal-Pervade“ zum Einsatz, bei dessen Anwendung die Software ganze Laufwerke überschrieb und bis zur Unbrauchbarkeit zumüllte.
Betrachtet man die Verbreitung und Häufigkeit des Befalls von Computersystemen, gehören Trojaner heute zu den häufigsten Software-Schädlingen. Sie unterscheiden sich von Viren und Würmern vor allem dadurch, dass sie sich nicht reproduzieren – sie können sich also nicht eigenständig in Systemen verbreiten. Trojaner werden jedoch häufig als Transportmittel genutzt, um Viren und Würmer in Computer- und Netzwerksysteme einzuschleusen.
Wie funktionieren Trojaner – und warum sind sie gefährlich?
Trojaner tarnen sich häufig als nützliche Software. Sie werden auf Freeware-Seiten (Websites, die Gratis-Software anbieten), in Spam-E-Mails, in Pop-Up-Fenstern im Browser oder auch in Filesharing-Netzwerken verbreitet. Sind sie einmal installiert und als Software gestartet, beginnen Sie, andere Schadsoftware herunterzuladen oder Daten auszuspionieren. Dabei kann es durchaus vorkommen, dass sie die von Ihnen vorgegebene Funktion (der Grund, warum ein Nutzer den Trojaner überhaupt herunterlädt) erfüllen – leider tun sie dies aber nur, um den Nutzer von den im Hintergrund eingeschleusten Schädlingen abzulenken.
Wie gefährlich Trojaner sind, hängt vor allem davon ab, welche Software und Viren sie im Hintergrund herunterladen und installieren. Es gibt relativ harmlose Trojaner, deren nachgeladene Software im allerschlimmsten Fall erhöhte Rechenlast im System erzeugt oder Speicherplatz auf der Festplatte einnimmt. Installieren Trojaner jedoch Spyware (Spionagesoftware), Ransomware oder andere Viren und Würmer, können sie von Datendiebstahl über Lösegelderpressung bis hin zu kompletten Netzwerkausfällen jeden erdenklichen Schaden anrichten und damit extrem gefährlich sein.
Auf welchen Wegen gelangen Trojaner auf Systeme der Opfer?
Der Befall eines Systems durch einen Trojaner kann auf verschiedenen Wegen erfolgen. Am häufigsten sind die Infektionswege (Phishing-)E-Mail und Website-Downloads.
Bei Phishing-Mails verbreiten sich Trojaner vor allem über herunterladbare Dateianhänge. Damit das Opfer den E-Mail-Anhang auch herunterlädt, tragen diese oft falsche Namen bzw. imitieren Dokumentennamen und Dateitypen, die das Opfer der Phishing-Mail erwarten kann. Hinter dem Anhang steckt dann oft ausführbarer Schadcode bspw. in Form von Makros, welche beim Öffnen der Datei die Arbeit des Trojaners starten.
Neben dubiosen E-Mails gelangen Trojaner vor allem über Gratis-Downloads von Software auf kompromittierten Freeware-Websites auf Computersysteme von Opfern. Indem Trojaner stets vorgeben, ein nützliches und hilfreiches Programm zu sein, werden Nutzer zum Download einer Gratis-Software verleitet. Oft erfüllt diese sogar – zumindest zum Teil – den gewünschten Effekt, der als Gratis-Nutzen propagiert wurde. Im Falle eines Trojaners merkt der Nutzer dann jedoch nicht, dass die Software im Hintergrund andere, in den allermeisten Fällen schädliche Software nachlädt und ausführt.
Der Befall mit Trojanern beschränkt sich heute schon lange nicht mehr ausschließlich auf Windows-Desktop-Systeme. Auch Mac- und Mobilgeräte sind Ziel der Angriffe.
Eine besondere Rolle spielen heute zudem sogenannte Geheimdienst-Trojaner. Für allerlei Aufsehen hat dort bspw. die israelische Trojaner-Spyware Pegasus gesorgt.
Mit Hilfe der Software, die vor allem an staatliche Geheimdienste vermarktet wurde und Mobilgeräte von Apple befallen hat, wurden zahlreiche Politiker und Personen des öffentlichen Lebens ausspioniert. Pegasus verbreitete sich über manipulierte SMS-Nachrichten, die einen schädlichen Link enthielten.
Die bedeutendsten Trojaner-Arten
Trojaner werden vor allem danach unterschieden, wie sich verschleiern, Software nachladen und ausführen und wie sie Schaden anrichten.
Backdoor -Trojaner und Exploits
Den Computer durch eine versteckte, geöffnete Hintertür angreifen – das ist das Ziel von Backdoor- und Exploit-Trojanern. Während Backdoor-Trojaner diese Hintertür selbst erstellen und öffnen, nutzen Exploits bereits vorhandene Sicherheitslücken und Eintrittspforten von auf dem System installierten Softwareanwendungen. Das Ergebnis ist ähnlich:
Das infizierte System wird entweder über die geöffnete Hintertür mit weiterer Malware infiziert oder die Rechenleistung des Systems wird für fremde Software, die über das Netzwerk ausgeführt wird, missbraucht. Im letzteren Fall sind die infizierten Geräte Teil sogenannter Botnetze, wo sie als Zombie-System bspw. aufwendige Berechnungen zum Schürfen von Kryptowährungen vollführen oder sog. DDoS-Attacken (distributed denial of service) für den Hacker ausführen – was das Opfer häufig an ungewöhnlich langsamem Verhalten des Systems bemerkt.
Dropper-Trojaner und Downloader -Trojaner
Die klassischsten Trojaner-Formen sind die sogenannten Dropper- und Downloader-Trojaner. Dropper-Trojaner sind Schadsoftwarepakete, die – sofern sie vom Opfer von einer kompromittierten Website heruntergeladen werden – automatisch verschiedenste Malware wie bspw. Ransomware, Spyware oder Backdoor-Trojaner installieren.
Dropper-Trojaner haben diese Schadsoftware bereits „im Gepäck“, sodass die Infektion sofort nach dem Download erfolgt. Im Gegensatz dazu benötigen Downloader-Trojaner eine aktive Internetverbindung, über die sie weitere Schadsoftware herunterladen und installieren. Das macht es Hackern besonders leicht, stets aktualisierte Versionen ihrer Schadsoftware zu verteilen – da sich Downloader-Trojaner mit der Website der Hacker verbinden, kann dort immer die aktuellste Version der Schadsoftware nachgeladen werden.
SMS -Trojaner und Instant-Messaging-Trojaner
Auch mobile Endgeräte werden nicht von Trojaner-Angriffen verschont. SMS-Trojaner tarnen sich bspw. als reguläre SMS-App auf Smartphones und versenden dann unbemerkt zahlreiche SMS an teure Auslanddienste oder bauen Verbindungen zu kostenpflichtigen SMS-Diensten auf. Doch auch bekannte Messenger-Dienste und Apps werden zur Zielscheibe von sogenannten IM-Trojanern: Sie versuchen, Log-In-Daten zu stehlen und Chatverläufe zu überwachen, weiterzuleiten und zu manipulieren.
Fake-Antivirus-Trojaner
Häufig geben sich Trojaner als nützliche Anwendung aus, um das potentielle Opfer dazu zu bringen, die Schadsoftware herunterzuladen. Diese Imitation gab den Software-Trojanern schließlich ihren Namen.
Besonders perfide ist das bei jedoch bei den Trojanern, die sich selbst als Antivirus-Programme ausgeben – also als Software, die unter anderem dafür zuständig ist, Trojaner zu erkennen und zu entfernen. Der Fake-Antivirus-Trojaner fordert das Opfer auf, Erweiterungen gegen vermeintliche Systembedrohung gegen Geldzahlung zu erwerben und lädt – unter der Tarnung „nützlicher Antiviren-Softwareupdates“ – weitere Malware herunter.
Woran erkenne ich, dass mein System von einem Trojaner befallen ist ?
Egal ob PC, Smartphone oder Tablet: Es gibt einige Symptome, die starke Verdachtsmomente für einen Trojaner-Befall darstellen. Dazu gehören unter anderem:
- Ihr Gerät ist plötzlich erheblich langsamer als sonst oder leidet unter dauerhafter erhöhter Prozessor-Auslastung (oft bemerkbar an lauten Lüftergeräuschen insb. bei Desktop-PCs und Laptops).
- Während der Nutzung Ihres Geräts erscheinen unbekannte Pop-Ups – entweder direkt in der Systemumgebung oder beim Surfen im Internet.
- Auf Ihrem Gerät sind Programme installiert, die nie von Ihnen installiert wurden. Eine Liste aller installierten Software können Sie auf Windows-Systemen bspw. aufrufen, indem Sie in die Suchleiste der Taskleiste der Befehl „regedit“ eingeben und anschließend im Ordner „HKEYCURRENTUSER“ den Ordner „Software“ aufrufen.
- Im Windows Task-Manager finden Sie laufende Prozesse im Hintergrund, die Sie keiner Ihnen bekannten Software zuordnen können.
- Ihre Firewall und / oder Virenschutzprogramme sind auf einmal deaktiviert: Manche Trojaner haben die Fähigkeit, vorhandene Schutzsoftware eigenmächtig und ohne, dass es der Nutzer bemerkt, auszuschalten.
- Dateien sind plötzlich verschwunden oder verschoben.
- Ihre Accounts werden missbraucht – bspw. werden unerwünschte Nachrichten versendet oder unerwünschte Transaktionen ausgeführt.
Im Idealfall ist auf jedem System ein aktuelles Antiviren-Programm installiert, welches – sofern es stets auf dem neuesten Stand gehalten wird – die Infektion mit einem Trojaner zuverlässig erkennen kann. Warnungen von Antivirenprogrammen sind somit die häufigste und einfachste Art, einen Trojaner-Befall zu erkennen.
Wie entferne ich einen Trojaner von meinem System?
Je nach Trojaner-Art, der Schwere der Infektion und der Schadsoftware, die der Trojaner bereits nachladen und in das System einschleusen konnte, kann sich die Systembereinigung sehr einfach oder sehr aufwändig gestalten.
Sollte der Verdacht auf einen Trojaner oder Malware im System bestehen, ist der beste Ausgangspunkt immer die Installation einer aktuellen Antivirensoftware. Das Antivirenprogramm scannt dann das gesamte System und stellt eventuell vorhandene Schadsoftware in einem Report fest. Im Anschluss hilft sie dabei, die schädlichen Dateien und Softwarebestandteile direkt zu entfernen.
Hat der Trojaner bereits hartnäckige und gefährliche Schadsoftware wie bspw. erpresserische Ransomware nachgeladen, kann es sein, dass das System ohne eine komplette Neueinrichtung inklusive des Verlustes aller lokal gespeicherten Daten nicht zu retten ist.
Hat der Trojaner Spyware nachgeladen und wichtige Zugangsdaten und Passwörter ausgespäht, ist es zudem wichtig, alle bedeutenden Online-Zugänge (insb. zu Zahlungssystemen, Verkaufsplattformen und Bank-Anwendungen) mit neuen Passwörtern und einer 2-Faktor-Authentifizierung zu versehen, um den Missbrauch der Accounts zu verhindern.
Wie kann ich mich vor Trojanern schützen?
Trojaner werden am häufigsten über Phishing-Angriffe mit gefälschten E-Mails und gefährlichen Mailanhängen sowie über kompromittierte Websites auf Systeme eingeschleust. Dementsprechend gelten zum Schutz vor einem Trojaner-Befall im Großen und Ganzen die gleichen Hinweise und Strategien wie zum Schutz vor Phishing-Attacken:
- Verwenden Sie eine aktuelle Antivirus-Software und halten Sie diese stets auf dem aktuellsten Stand. Antivirus-Software kann Trojaner zuverlässig frühzeitig erkennen, isolieren und entfernen.
- Halten Sie Ihr Betriebssystem und Ihre Programme und Apps stets auf dem aktuellsten Stand. So schützen Sie sich insbesondere vor Backdoor-Trojanern und Exploits.
- Richten Sie überall, wo es möglich ist, eine 2-Faktor-Authentifizierung für Ihre Online-Zugänge an. Selbst wenn Sie von einem Trojaner betroffen sind, der Ihre Zugangsdaten ausspäht, kann Ihr Account so nicht missbraucht werden, da die Angreifer meistens keine Möglichkeit haben, an Ihren 2. Authentifizierungsfaktor zu gelangen.
- Verwenden Sie einen Pop-Up-Blocker in Ihrem Browser, um zu verhindern, dass Sie auf gefälschte Websites geleitet werden.
- Lassen Sie sich E-Mails als Plaintext (nicht HTML) anzeigen. So erkennen Sie verdächtige Links leichter. Öffnen Sie zudem keine E-Mail-Anhänge von Absendern, die Sie nicht kennen oder denen Sie nicht vertrauen. Seien Sie skeptisch gegenüber E-Mails, die Sie nicht erwartet haben.
- Als Unternehmen mit eigener IT können Sie das Eindringen von E-Mail-Fälschungen an Ihrem Server erschweren, z.B. durch restriktive Einstellungen Ihres E-Mail-Servers bzgl. SPF-, DKIM- und DMARC-Prüfung.
- Tragen Sie dazu bei, dass E-Mail-Fälschungen insgesamt erschwert werden. Dies ist vor allem beim eigenen E-Mail-Versand möglich, durch
- die Konfiguration von SPF und DMARC in Ihrer eigenen E-Mail-Domain sowie die Verwendung von DKIM-Signaturen, sowie
- die Nutzung von flächendeckender wirksamer (obligatorischer oder qualifizierter) TLS-Verschlüsselung, z.B. mit unserem Gateway comcrypto MXG.
- Klicken Sie in SMS und Messenger-Nachrichten nicht auf Links, sofern die Nachrichten unerwartet oder von Ihnen nicht bekannten Absendern kommen.
- Deaktivieren Sie Makros in Microsoft-Office-Dateien bzw. lassen Sie diese gar nicht erst zu.
- Installieren Sie keine Programme aus unbekannten Quellen: Laden Sie PC-Software nur auf den Websites der Original-Hersteller herunter und verwenden Sie auf Mobilgeräten ausschließlich den Google Play Store oder Apples App Store, um Apps zu installieren.
- Auch wenn dies nicht vor dem Befall mit einem Trojaner hilft, kann es die Folgen erheblich mindern: Legen Sie regelmäßig System-Backups oder Backups der wertvollen Dateien auf Ihrem System an. Im Falle einer schwerwiegenden Infektion, bei der Sie Ihr System komplett neu aufsetzen müssen, können Sie so die Gefahr des vollständigen Datenverlustes minimieren.
Wie immer in der Onlinewelt gilt: Bleiben Sie skeptisch. Seien sie vorsichtig und begegnen Sie vermeintlichen Verlockungen mit Vorsicht – oftmals stecken dahinter nur leere Versprechungen und Ablenkungen, um in Wahrheit Ihr System mit Schadsoftware wie Trojanern, Ransomware und Viren zu verseuchen und dadurch Ihre Daten oder Ihr Geld zu stehlen.