Trojaner entfernen

trojanisches Pferd

Trojaner sind schädliche Programme, die durch Täuschung verbreitet werden. Sie tarnen sich als harmlose Anwendungen oder Dokumente und haben Schadfunktionen, die der Nutzer oft zu spät bemerkt. Aber nicht immer arbeiten Trojaner versteckt im Hintergrund. Sogenannte Erpressertrojaner sperren Bereiche der Festplatte und fordern anschließend Lösegeld für die „entführten“ Daten.

Was ist ein Trojaner?

Dass ein Schadprogramm ein Trojaner ist, sagt etwas über seinen Verbreitungsmechanismus aus, aber nicht viel darüber, welche Art von Schaden es verursacht. Im Unterschied zu Viren und Würmern breiten sich Trojaner nicht aktiv aus, sondern sind darauf angewiesen, dass der Anwender sie ausführt. Kriminelle, die Trojaner nutzen, stehen also vor zwei Herausforderungen. Zum einen müssen Sie den Trojaner verteilen, zum anderen müssen sie dafür sorgen, dass er auch gestartet wird.

Wie ein Trojaner auf den PC kommt

Zur Verbreitung von Trojanern verwenden Cyberkriminelle sehr oft Spam-E-Mails. Manche Schadprogramme aus dieser Kategorie verbreiten sich aber auch über das Herunterladen von dubiosen Gratis-Softwares. Besondere Vorschicht ist bei Filesharing-Plattformen wie BitTorrent geboten, da bei diesen Diensten die Quelle anonym bleibt. Das nutzen die Verbreiter von Trojanern aus, um ihre Schadprogramme unters Volk zu bringen. Auch vermeintlich sichere Quellen, beispielsweise Computermagazine oder Websites mit Softwaresammlungen, können diese Schädlinge unabsichtlich verteilen.

Tricks und Täuschung

Um ihre Trojaner auf möglichst viele Computer einzuschleusen, bedienen sich Cyberkriminelle unterschiedlicher Tricks. Bestimmte Erpressertrojaner tarnen sich als Rechnung. In Wirklichkeit ist das vermeintliche Dokument aber eine Anwendung, und beim Versuch, es zu öffnen, aktiviert der Nutzer den Trojaner.

Raffiniert ist die Tarnung als Antivirenprogramm. Dem Nutzer wird durch fingierte Warnmeldungen (beispielsweise als Pop-ups auf Webseiten) vorgemacht, sein Rechner sei mit einem Virus infiziert. Praktischerweise wird auch der Download eines Antivirenprogramms gleich angeboten. Das vermeintliche Antivirenprogramm ist aber in Wirklichkeit ein Trojaner. Die Masche funktioniert also so, als würde ein besonders dreister Trickbetrüger sich ausgerechnet als Polizist tarnen.

Sprachliche Wirrungen und Irrungen

Besserwisser weisen gerne darauf hin, dass die Bezeichnung „Trojaner“ genau genommen falsch ist, denn im trojanischen Krieg wurden ja die Trojaner von den griechischen Belagerern mit dem trojanischen Pferd überlistet. Die listigen Schadprogramme müssten also „trojanische Pferde“ genannt werden. Wer die Metapher konsequent zu Ende denkt, gelangt zu der Erkenntnis, dass Trojaner (die Schadprogramme) eigentlich „Griechen“ oder „griechische Pferde“ heißen müssten. Das wäre aber als Bezeichnung für diese Malwareklasse mehr als verwirrend. Zu Gunsten der Verständlichkeit bleiben wir hier lieber bei dem geläufigen Begriff „Trojaner“.

Der Erpresser auf der Festplatte

Namen wie WannaCry, Petya, Locky oder der Bundespolizei-Trojaner sorgten in jüngster Zeit immer wieder für Schlagzeilen. Es handelt sich um sogenannte Erpressertrojaner, auch Ransomware genannt. Sie sind aktuell eine der größten Bedrohungen für die Sicherheit von Computeranwendern. Der Antivirushersteller McAfee meldet in seinem „Threats-Report“ von März 2018 eine Zunahme der Ransomware-Varianten um 59 Prozent. Insgesamt sind damit 14,8 Millionen unterschiedliche Erpressertrojaner im Umlauf.

Das Grundprinzip von Erpressertrojanern funktioniert so: Der Trojaner verschlüsselt Daten auf dem Rechner mit einem asymmetrischen Verschlüsselungsverfahren. Dadurch werden sie für den User unzugänglich. In einem Erpresserbrief, der auf dem Bildschirm eingeblendet wird, fordern die Cyberkriminellen die Bezahlung einer bestimmten Summe, um die Daten wieder freizugeben. Die Erpresser nutzen dafür Zahlungswege, die sie anonym bleiben lassen. Krytowährungen wie Bitcoin sind beliebt, aber auch Amazon- oder iTunes-Gutscheincodes werden dafür verwendet.

So erkennen Sie Trojaner

Computernutzer müssen kein spezielles Programm installieren, um Trojaner aufzuspüren. Jedes handelsübliche Antivirenprogramm reicht aus.

Obwohl sich „Viren“ als Bezeichnung für schädliche Software aller Art eingebürgert hat, sind klassische Computerviren heute nur noch von geringer Bedeutung. Andere Formen von Malware, auch Trojaner, haben ihnen schon längst den Rang abgelaufen. Antivirenprogramme haben sich darauf eingestellt und erkennen sämtliche Arten von Schadsoftwares, auch wenn sie aus Marketinggründen weiterhin das Wort „Antivirus“ im Titel tragen.

Kaspersky Virenscanner
Vergrößern
Internet-Security-Suites enthalten nicht nur einen Virenscanner, sondern sorgen für Rundumschutz des PCs.

Treten neue Formen von Viren und Trojanern auf, müssen die Hersteller sie erst entdecken, Signaturen erstellen und diese via Update an ihre Kunden liefern. Gegen neue Trojaner sind Nutzer von Virenscannern also eine gewisse Zeit lang ungeschützt. Um sich nicht unnötiger Gefahr auszusetzen, müssen Computernutzer also selber Vorsichtsmaßnahmen treffen. Das gilt besonders für E-Mails, da Spam einer der wichtigsten Verteilungskanäle für Trojaner ist.

Prüfen Sie folgende Punkte, wenn Sie herausfinden wollen, ob eine E-Mail einen Trojaner enthält. Je mehr Hinweise Sie finden, desto wahrscheinlicher handelt es sich bei dem Anhang um einen Trojaner:

  1. Oft verstecken sich Trojaner in vermeintlichen Rechnungen. Ist es realistisch, von diesem Unternehmen eine Rechnung zu erhalten? Besteht eine Geschäftsbeziehung mit der Firma? Haben Sie in jüngster Zeit überhaupt etwas gekauft?
  2. Echte Rechnungen enthalten im Normalfall schon im Textteil der E-Mail Details wie Rechnungssumme, Kaufdatum und Kundennummer. Fehlen im Textteil der E-Mail solche Angaben, sollten Sie Verdacht schöpfen.
  3. In Deutschland ist es Pflicht, in der E-Mail-Signatur Firmensitz, Unternehmenseigentümer und Kontaktdaten anzuführen. Das Fehlen dieser Informationen kann ein Hinweis auf die unlauteren Absichten des Absenders sein.
  4. Welches Dateiformat hat der Anhang? Während Word-Dateien Makros enthalten können und daher als unsicher gelten, lässt sich in PDF-Dokumenten kein schädlicher Code verstecken.
  5. Auch (vermeintliche) PDF-Dateien sind nicht völlig ungefährlich. Ausführbare Dateien können nämlich als PDF-Dokument getarnt werden. Beim Öffnen einer solchen gefälschten PDF-Datei fragt Ihr Betriebssystem nach, ob Sie wirklich eine Anwendung aus dem Internet starten wollen. Diese Frage sollten sie in diesem Fall unbedingt verneinen, denn Sie können sich ziemlich sicher sein, dass es sich um einen Trojaner handelt. Besser noch: Werfen sie schon vor dem Doppelklick einen genauen Blick auf die Dateiendung. Heißt die Datei wirklich „rechnung.pdf“ oder „rechnung.pdf.exe“?
  6. Aktivieren Sie auf keinen Fall Word-Makros für ein Dokument aus dem Internet; auch und schon gar nicht dann, wenn das Dokument sie dazu auffordert, denn das ist ein fast schon überdeutlicher Hinweis auf einen Trojaner.

Trojaner loswerden

Die Entfernung von Trojanern funktioniert im Prinzip genauso wie die Virenentfernung. Am besten starten Anwender dazu den Rechner nicht von der Festplatte, sondern von einem Notfalldatenträger. Die nötigen Schritte haben wir im Ratgeber zum Entfernen von Viren beschrieben.

Bei Erpressertrojanern ist besondere Vorsicht geboten. Mit der Entfernung des Trojaners ist das Problem bei dieser Form von Schadsoftware nämlich nicht gelöst. Trotzdem ist es wichtig, als ersten Schritt den Trojaner selbst zu entfernen. Die Dateien des Anwenders bleiben auch nach dem vollständigen Löschen der Ransomware verschlüsselt. Oft sind sie für immer verloren. Manchmal schaffen es aber Computerexperten nach einiger Zeit, Entschlüsselungsalgorithmen zu entwickeln, die sie in der Regel kostenlos der Öffentlichkeit zur Verfügung stellen. Daher sollten Opfer von Ransomware ihre verschlüsselten Dateien aufbewahren.

Wer kein Backup hat und ganz verzweifelt ist, kann den Erpressern auch die geforderte Summe bezahlen. Die Polizei rät allerdings davon ab, um das „Geschäftsmodell“ der Erpresser nicht zu fördern. Zudem ist es Glückssache, ob die Daten der Opfer nach der Bezahlung tatsächlich entschlüsselt werden. Viele Ransomwares sind so amateurhaft programmiert, dass gar keine Entschlüsselung möglich ist. „Kundenservice“ ist den Erpressern nämlich in der Regel ziemlich egal. Ihnen geht es vor allem darum, von ihren Opfern möglichst viel Geld zu kassieren.