Ausgesaugt
Mining-Parasiten erkennen und loswerden
Wenn der Rechner plötzlich ohne erkennbaren Grund aufröhrt und nicht mehr leise wird, dann installiert er möglicherweise gerade die neuesten Betriebssystem-Updates – vielleicht schürft er aber auch im Auftrag von Online-Ganoven nach Krypto-Gold. Gewissheit verschafft man sich, indem man der Sache auf den Grund geht und die Ursache für den Leistungshunger ermittelt.
Mining-Parasiten haben es nicht auf Ihre Daten abgesehen, dafür aber auf Ihre Hardware: Sie missbrauchen den Prozessor und manchmal auch die Grafikkarte, um damit Rechenoperationen zum Schürfen von Bitcoins, Monero und Co. durchzuführen. Anders als bei einem Verschlüsselungs-Trojaner führt das nicht unmittelbar zu einem Schaden, es schlägt sich jedoch auf der Stromrechnung nieder und trägt zur Alterung Ihrer Hardware bei. Ist ein Mining-Schädling allzu gierig und zwackt viel Rechenleistung ab, reagiert das System nicht mehr flüssig und die Lüfter drehen auf.
Wenn sich bei Ihnen das Gefühl breit macht, dass sich Ihr Windows-System selbstständig gemacht hat und aus unbekannten Gründen Rechenressourcen verbraucht, können Sie versuchen, den dafür verantwortlichen Prozess zu identifizieren. Der naheliegendste Gedanke ist, dafür den Task-Manager von Windows zu nutzen. Dieser Weg entpuppte sich jedoch bei unserer Analyse infizierter Systeme schnell als Sackgasse: Als wir den Task-Manager auf einem verseuchten Rechner starteten, schrillten bei dem Mining-Parasiten offenbar die Alarmglocken und er beendete sich kurzerhand selbst, um nicht auf frischer Tat ertappt zu werden. Nachdem wir den Task-Manager geschlossen hatten, machte sich der Schädling wieder frisch ans Werk und der Rechner wurde wieder laut.
Das gleiche Phänomen beobachteten wir mit dem kostenlosen Process Explorer von Sysinternals (siehe ct.de/y7jr), nach dem der Schädling offenbar ebenfalls Ausschau hielt. Mit einem einfachen Trick konnten wir den Parasiten schließlich doch überführen und dem Versteckspiel ein Ende bereiten: Wir benannten die ausführbare Datei des Process Explorer von procexp64.exe in paint.exe um und konnten prompt den Schädling bei der Arbeit beobachten. Er lastete alle acht Kerne unseres Testsystems fast vollständig aus, um Moneros mit dem Mining-Tool xmrig zu schürfen. Eine beliebig umbenannte Kopie des Process Explorer ist also das Mittel der Wahl, wenn Sie überprüfen wollen, ob Ihr Rechner infiziert ist.
Unter die Haube geschaut
Der Process Explorer macht Ihnen die Suche nach gierigen Prozessen leicht: Klicken Sie auf die Spaltenüberschrift „CPU“, um die Liste der laufenden Anwendungen nach CPU-Auslastung zu sortieren. Wenn die Einträge zu schnell aktualisiert werden, können Sie über die Menüleiste unter „View/Update Speed“ die Aktualisierungsgeschwindigkeit einstellen. Um auch Miner zu überführen, die Ihre Grafikkarte missbrauchen, klicken Sie mit rechts auf eine der Spaltenüberschriften (etwa „CPU“) und aktivieren unter „Select Columns/Process GPU“ die Spalte „GPU Usage“. Standardmäßig zeigt der Process Explorer unter anderem die Dateinamen der Prozesse, die Icons, eine Beschreibung und den Herstellernamen an.
Diese Informationen sind jedoch mit Vorsicht zu genießen, da sie vom Entwickler der Programme beliebig gesetzt werden können. Bei einer „firefox.exe“ mit der Beschreibung „Firefox“ vom Entwickler „Mozilla Corporation“ muss es sich also nicht zwangsläufig um den Firefox-Browser handeln. Aussagekräftiger sind da schon die Speicherorte der Dateien, die Sie über die Spalte „Path“ (unter „Select Columns/Process Image“) einblenden lassen können. Mit der Spalte „Command Line“ erfahren Sie sogar den vollständigen Aufruf einschließlich Kommandozeilen-Parameter. Wurde die firefox.exe aus einem obskuren Verzeichnis oder dem Temp-Ordner gestartet, dann ist wahrscheinlich etwas faul.
Sehr hilfreich ist auch die Anbindung an den Virenscan-Dienst VirusTotal, der inzwischen von Google betrieben wird. VirusTotal überprüft Dateien mit über 60 Virenscan-Engines auf Schädlingsbefall. Wenn man sich so viele Meinungen einholt, dann ist die Wahrscheinlichkeit groß, dass sich eine der Engines irrt. Halten nur ein oder zwei Virenscanner die Datei für gefährlich, handelt es sich oft um einen Fehlalarm. Doch bei zwanzig oder mehr Erkennungen kann man davon ausgehen, dass mit der Datei etwas faul ist. Bei den von uns untersuchten Schädlingen waren die Erkennungsraten mehr als eindeutig. Im Process Explorer können Sie mit einem Klick auf „Options/VirusTotal.com/Check VirusTotal.com“ alle laufenden Prozesse diesem Mehrfach-Scan unterziehen. Dabei überträgt das Tool lediglich die Prüfsummen der Dateien an VirusTotal. Ein Ergebnis bekommt man auf diese Weise nur, wenn der Dienst die Datei schon mal untersucht hat. Wer möchte, kann über „Submit Unknown Executables“ auch Dateien zum Virenscan einreichen, die der Dienst noch nicht kennt.
Andere Plattformen
Wer Linux nutzt, kann etwa über den Shell-Befehl top eine Liste der derzeit aktiven Prozesse abrufen. Bei Ubuntu können Sie auch die Systemüberwachung über den Launcher starten, die eine grafische Oberfläche bietet. Unter macOS hilft die Aktivitätsanzeige, die Sie unter „Programme/Dienstprogramme“ finden. Standardmäßig zeigt sie nur die Prozesse des angemeldeten Nutzers an. Klicken Sie unter „Darstellung“ auf „Alle“, um diese Einschränkung aufzuheben.
Bei Android geben die Bordmittel nicht allzu viel her: In den Einstellungen erfährt man unter „Akku“, welche Apps besonders viel Energie verbrauchen. Einen tieferen Einblick erlaubt etwa der „CPU Monitor Advanced Free“ von ENCApps (siehe ct.de/y7jr), der das Geschehen zunächst zwei Minuten überwacht und dann die Durchschnittswerte dieser Messung anzeigt. Allerdings funktioniert das nur bis einschließlich Android 6, da es Apps in neueren Versionen nicht mehr gestattet ist, auf detaillierte Informationen anderer Prozesse zuzugreifen. Diese Einschränkung kann man zum Beispiel mit Root-Rechten umgehen. Wer zumindest wissen möchte, welche CPU-Kerne wie stark ausgelastet sind, kann etwa zu der App „CPU Monitor“ von GLGJing greifen. Das Tool läuft auch auf aktuellen Android-Versionen. Unter iOS erfahren Sie in den Einstellungen unter „Batterie“, welche Apps im Zeitraum der vergangenen 24 Stunden oder sieben Tage den meisten Strom verbraucht haben.
Sauber booten
Kryptogeld-Parasiten nisten sich dauerhaft im System ein und sorgen dafür, dass sie etwa nach einem Neustart automatisch wieder ausgeführt werden. Das hinterlässt Spuren, die man mit dem Sysinternals-Tool Autoruns (siehe ct.de/y7jr) lesen kann. Das Programm untersucht nahezu alle bekannten Stellen, an denen sich Anwendungen einklinken können und fasst seine Erkenntnisse auf dem Registerreiter „Everything“ zusammen. Hier gilt ebenfalls, dass man sich auf der Suche nach Schädlingen nicht auf Angaben wie Programmnamen und -beschreibung verlassen kann. Ein effektiver Handgriff ist auch hier der VirusTotal-Scan, den man über „Options/Scan Option/Check VirusTotal.com“ anstößt.
Autoruns berücksichtigt nicht nur Autostarts über Registry-Einträge und Dienste, sondern unter anderem auch geplante Aufgaben. Auf unserem infizierten Testsystem hatte der Trojaner eine Aufgabe mit dem unauffälligen Namen „WinHostStartForMachine“ angelegt, welche den Schädling im Minutentakt ausführte. Diese Aufgabe hat den Schädling auch wieder zum Leben erweckt, nachdem er sich beim Start des Task-Managers selbst gekillt hatte.
Tatortreiniger
Stellen Sie tatsächlich eine Infektion fest, können Sie versuchen, den Schädling zu entschärfen, indem Sie seinen Autostart-Mechanismus deaktivieren und das System neu starten. Klicken Sie in Autoruns einfach auf das Häkchen neben dem Eintrag des Trojaners, damit der Virus beim nächsten Start nicht ausgeführt wird. Nach einem Neustart können Sie die ausführbare Datei entschärfen, indem Sie ihre Dateinamenerweiterung etwa in .infected ändern, wodurch der Virus nicht mehr gestartet werden kann.
Eine Garantie dafür, dass Ihr System danach sauber ist, gibt es allerdings nicht. So könnte der Schädling etwa aus mehreren Modulen bestehen und dafür sorgen, dass der Rechner nach dem Desinfektionsversuch wieder erneut befallen wird. Zudem besteht die Gefahr, dass die Online-Ganoven nicht nur den Krypto-Miner, sondern etwa auch einen Banking-Trojaner oder Passwortspion hinterlassen haben. Scannen Sie Ihr System daher am besten komplett mit einer bootfähigen Antiviren-DVD wie Desinfec’t. Dies erhöht die Wahrscheinlichkeit, dass Sie etwaigen weiteren Schadcode entdecken. Wenn Sie auf Nummer sicher gehen wollen, müssen Sie Ihren Rechner nach einer Infektion jeglicher Art neu aufsetzen.
Präventivmaßnahmen
Mining-Parasiten verbreiten sich über die gleichen Übertragungswege wie Erpressungs-Trojaner, Banking-Bots und Co. – also vor allem über Mail-Anhänge und Datei-Downloads. Davor schützen Virenscanner und gesunder Menschenverstand. Der Virenscanner blockiert die Ausführung von Dateien, die bekanntermaßen bösartig sind oder durch verdächtiges Verhalten auffallen. Einen brauchbaren Grundschutz liefert unter Windows der Defender, der seit Windows 8 vorinstalliert ist. Im Testlabor von AV-Test erreichte der Gratis-Schutz in der Kategorie Schutzleistung volle 100 Prozent (Dezember 2017). Stellen Sie sicher, dass der Defender aktiv ist und mit aktuellen Virensignaturen versorgt wird. Sie finden diese Information im Windows Defender Security Center, das Sie über eine Startmenü-Suche nach „Defender“ erreichen. Ein grünes Häkchen bei „Viren- & Bedrohungsschutz“ besagt, dass alles im Lot ist.
Die Trojaner schlüpfen auch Huckepack mit legitimer Software aufs System – als sogenannte Potentially Unwanted Applications (PUA), also potenziell unerwünschte Applikationen. Offenbar kaufen sich Mining-Ganoven in die Installer kostenfreier Software ein, um ihre Schürfwerkzeuge unter die Leute zu bringen. Der Defender kann PUA zwar blockieren, tut es aber standardmäßig nicht. Um die PUA-Erkennung scharfzuschalten, muss man in die Trickkiste greifen: Starten Sie unter Windows 10 zunächst eine Powershell mit Adminrechten – etwa durch eine Startmenü-Suche nach Powershell, einem Rechtsklick auf den Suchtreffer und „Als Administrator ausführen“. Mit dem folgenden Befehl schalten Sie die Erkennung schließlich scharf:
Set-MpPreference -PUAProtection 1
Nach einem Neustart ist die Schutzfunktion aktiv. Unter ct.de/y7jr finden Sie eine harmlose Testdatei zum Ausprobieren, auf welche die PUA-Erkennung des Defender anspringt. Unter Windows 8 funktioniert der Powershell-Befehl nicht, Sie können den PUA-Schutz jedoch über die Registry aktivieren (siehe ct.de/y7jr). Wer Windows 7 und die Microsoft Security Essentials (MSE) einsetzt, kann ebenfalls über die Registry einen entsprechenden Filter einschalten.
Sicherheitslücken sind ein weiteres Schlupfloch, durch das Mining-Trojaner & Co. auf Ihren Rechner gelangen können. Zumeist nutzen Online-Ganoven bekannte Schwachstellen aus, für die es bereits Patches gibt. Stellen Sie also sicher, dass Betriebssystem und Anwendungen stets auf dem aktuellen Patch-Stand sind. Das gilt insbesondere für den Browser, Browser-Plug-ins, Office und PDF-Anzeigeprogramm. Wer als Browser den als recht sicher geltenden Google Chrome nutzt, hat damit wenig Stress: Das Programm aktualisiert sich zuverlässig von selbst und hält auch seinen Flash-Player und seinen PDF-Viewer auf dem aktuellen Stand.
Browser-Schutz
Auch wenn der Rechner nicht mit einer Malware infiziert ist, schürft er möglicherweise für fremde Krypto-Wallets: Ruft man eine Webseite auf, die ein JavaScript-Mining-Tool wie Coinhive einsetzt, kann sie den Prozessor ungefragt voll auslasten. Entpuppt sich bei Ihrer Suche nach dem Leistungsfresser ein legitimer Browser-Prozess als Übeltäter, dann sind Sie wahrscheinlich auf einer solchen Seite gelandet. Schließen Sie einfach nach und nach die Browser-Tabs, bis die Prozessorlast auf ein normales Maß absackt. Falls der Browser aufgrund der hohen CPU-Auslastung nicht mehr reagiert, können Sie ihn über den Task-Manager abschießen und anschließend neu starten. Die meisten Browser starten ohne die zuletzt geöffneten Tabs – und somit auch ohne die leistungshungrige Mining-Seite.
Damit der Browser erst gar nicht mit dem Schürfen beginnt, können Sie die Mining-Skripte blockieren. Das geht zum Beispiel mit der Browser-Erweiterung „No Coin“, die für Chrome und Firefox angeboten wird (siehe ct.de/y7jr). Sie funktioniert wie ein Adblocker, auf der Blacklist befinden sich jedoch ausschließlich Namen von Mining-Skripten und damit in Verbindung stehenden Servern. Wer bereits einen Adblocker mit konfigurierbaren Filterlisten im Einsatz hat, kann die Nocoin-Filterliste (siehe ct.de/y7jr) einfach hinzufügen. Die Liste wird auch als Hosts-Datei angeboten, mit der Sie das Betriebssystem dazu bringen können, sämtliche Verbindungen zu den am Mining beteiligten Hostnamen zu blockieren.
Opera-Nutzer sparen sich die Installation einer Erweiterung, wenn sie den in den Browser eingebauten Werbefilter in den Einstellungen (Alt+P) scharfschalten. Seit Opera 50 nutzt der Filter die Nocoin-Liste, um Browser-Mining zu verhindern. Firefox blockt zumindest im Modus „Privates Surfen“ einige verbreitete Mining-Skripte wie Coinhive über die Filterliste von Disconnect.me, wenn der integrierte Adblocker „Schutz vor Aktivitätenverfolgen“ aktiv ist. Der verbreitete Adblocker uBlock Origin greift unter anderem auf die Filterliste Easylist Privacy zu, auf der ebenfalls einige Mining-Skripte stehen. Die Erweiterung gibts für alle wichtigen Browser einschließlich Microsoft Edge.
Langfristig könnten es Mining-Skripte zumindest unter Chrome und Firefox schwer haben, über einen längeren Zeitraum Rechenleistung abzuzwacken. JavaScript-Miner nutzen sogenannte Service Worker, um Code im Hintergrund auszuführen. Einem Bericht zufolge plant Google, den Ressourcenverbrauch dieser Service Worker einzuschränken: Befindet sich ein Browser-Tab nicht im Vordergrund, soll es nur noch 1 statt bisher 100 Prozent CPU-Last erzeugen dürfen. Das Firefox-Team soll ebenfalls bereits an Maßnahmen arbeiten, die dem Nutzer mehr Kontrolle über das potenziell unerwünschte Mining auf Websites geben. (rei@ct.de)
Tools und Browser-Erweiterungen:ct.de/y7jr