AVG Signal-Blog Sicherheit Viren Was ist ein Mining-Virus und wie lässt er sich entfernen?
Cryptojacking-Hero

Was ist Cryptojacking?

Beim Cryptojacking wird die Rechenleistung eines Computers „gekapert“, um ohne das Wissen des Benutzers Kryptowährungen zu schürfen. 

Da das Schürfen von Kryptowährungen wie Bitcoins sehr viel Rechenleistung erfordert, suchen die Akteure nach immer neuen Wegen, um an diese Rechenleistung zu kommen. Eine Strategie besteht darin, sie von Tausenden unwissenden Internetnutzern „auszuleihen“.

Dieser Artikel enthält:

    Im Jahr 2017 ging der Wert von Bitcoins durch die Decke, denn er erreichte unglaubliche 20.000 US-Dollar pro Coin. In diesem Jahr waren PCs tatsächlich mehr mit dem Schürfen von Kryptowährungen beschäftigt als mit allem anderen. Das digitale Geld eroberte das Internet im Sturm, und natürlich gab es skrupellose Leute, die davon unter allen Umständen profitieren wollten. 

    Ein Bitcoin-Mining-Virus kann so aggressiv sein, dass er den Akku im Handumdrehen verbraucht, Ihren Computer für einen längeren Zeitraum unbrauchbar macht und die Lebensdauer Ihres Geräts verkürzt.

    Dazu diente z. B. die Entwicklung von Malware fürs Bitcoin-Mining. Hacker schafften es, die Rechenleistung von Tausenden von Privatcomputern zu „kapern“ und zum erfolgreichen Schürfen zu nutzen. Das ist natürlich eine viel billigere Alternative als die Nutzung der sonst üblichen, mehrere Tausend Dollar teuren ASIC-Miner.

    Inwiefern kann Sie das schädigen?

    Die Person, die Ihren Computer mit Malware fürs Schürfen von Kryptowährungen infiziert, macht dies lediglich zur eigenen finanziellen Bereicherung. Dabei geht es streng genommen nicht um den Zugriff auf Ihre persönlichen Daten oder deren Weitergabe.

    Aber die Cryptojacker verwenden dennoch Ihre Systemressourcen ohne Ihr Wissen oder Ihre Zustimmung. Ein Bitcoin-Mining-Virus kann so aggressiv sein, dass er den Akku im Handumdrehen verbraucht, Ihren Computer für einen längeren Zeitraum unbrauchbar macht und die Lebensdauer Ihres Geräts verkürzt. Aber nicht nur das, auch Ihre Stromrechnung steigt und Ihre Produktivität sinkt. Daher kann man hier ohne Weiteres von einem Sicherheitsverstoß sprechen.

    Was noch wichtig ist zu erwähnen: Beim Cryptojacking geht es eigentlich fast nie ums Schürfen von Bitcoins, denn der Abbau von Bitcoins erfordert enorme Rechenleistung, für die Cryptojacking einfach nicht ausreicht. Aber da Bitcoins die bekannteste Kryptowährung ist, wird die Bezeichnung manchmal stellvertretend für alle Arten von digitalen Währungen verwendet. „Bitcoin-Mining-Virus“ ist demnach auch ein Begriff, der alle Kryptowährungen abdeckt. 

    Nur für kleinere Kryptowährungen wie Monero reicht die Standardhardware in Privatcomputern aus, das heißt, nur diese Währungen werden mithilfe von Cryptojacking-Malware geschürft. Die Nichtverfolgbarkeit von Monero-Transaktionen ist ein weiterer Faktor, der Monero zu einem idealen Ziel für diese Art von Cyberkriminalität macht. Aber unabhängig von der Art des Minings, für das Ihr System missbraucht wird, sollten Sie dem sofort mit einem leistungsstarken Antivirus-Tool Einhalt gebieten. 

    AVG AntiVirus FREE erkennt und blockiert alle Arten von Malware-Infektionen – von Cryptojacking über Spyware bis hin zu ganz gewöhnlichen Viren. Laden Sie es noch heute herunter, um von Onlineschutz rund um die Uhr zu profitieren.

    Holen Sie es sich für PC, Mac, iOS

    Verschiedene Arten von Mining-Viren

    Es gibt mehrere Cryptojacking-Arten, die sich in ihrer Verfolgbarkeit unterscheiden. Sehen wir uns zwei der gängigsten Methoden an.

    Browserbasierter Mining-Virus

    Eine gängige Methode von Cryptojackern, die Kontrolle über Ihren Computer zu übernehmen, ist der Einsatz von Website-Skripten. Da Skripte im Hintergrund ausgeführt werden und in gewissem Maße Zugriff auf Ihren Computer haben, sind sie ideal für das browserbasierte Bitcoin-Mining. Hacker haben auch schon Schlupflöcher in WordPress-Datenbanken gefunden und dort Code ausgeführt. 

    Sie müssen im Prinzip nur eine bestimmte Website ohne Schutz (oder mit veralteter Software) besuchen, und schon weist ein unsichtbares Skript Ihren Computer an, mit dem Mining zu beginnen. Dies gilt in der Regel nur für kompromittierte Websites, weshalb Sie immer wissen sollten, wie sicher die von Ihnen besuchten Websites sind. Aber selbst seriöse Websites sind manchmal Angriffen ausgesetzt, wie wir noch sehen werden. Im besten Fall wird der Schürfprozess beendet, sobald Sie die Website verlassen oder den Browser schließen. 

    Cryptojacking-Opfer müssen damit rechnen, dass die Ressourcen ihrer CPU bis ans Limit ausgereizt werden.

    E-Mail-Anhänge und dubiose Links sind weitere Möglichkeiten, wie Hacker Ihren Computer dazu bringen können, schädlichen Code auszuführen. Prüfen Sie jede E-Mail eingehend, bevor Sie auf etwas klicken. Seien Sie vorsichtig, wenn Sie von Facebook oder einer anderen Plattform grundlos nach Ihrem Passwort gefragt werden. Glauben Sie auch nicht jeder Schaltfläche, die angibt, dass Firefox oder Chrome aktualisiert werden muss. Wenn sie sich nicht auf der offiziellen Website des Browsers befindet, könnte sie Mining-Software im Browser installieren. Und diese bleibt wahrscheinlich auch dann bestehen, nachdem Sie Ihren Browser geschlossen haben. 

    Cryptojacking-Opfer müssen damit rechnen, dass die Ressourcen ihrer CPU bis ans Limit ausgereizt werden. Auch die GPUs leistungsstarker Grafikkarten können aufgrund ihrer hohen Kapazität angezapft werden. Dies führt zu einer Verlangsamung der Computerleistung und zu einer erhöhten Stromrechnung. Das alles hört nicht so schlimm an wie z. B. ein Identitätsdiebstahl. Aber es ist dennoch ein Sicherheitsproblem, vor dem Sie sich schützen sollten.

    Adware-Bitcoin-Mining

    Das Adware-Bitcoin-Mining ist auch eine Art von Cryptojacking-Malware. Nachdem diese Miner Ihren Computer infiziert haben, befinden sie sich auf Ihrem Computer als installierte Programme oder als im RAM eingebettete Codezeilen, was sie weitaus gefährlicher macht als andere Formen des Cryptojacking.

    Aus der Tiefe Ihrer Systemdateien heraus kann dateibasierte Adware Ihre Antivirus-Software deaktivieren. Sie kann sicherstellen, dass immer eine Kopie von ihr auf dem Computer installiert ist. Sie kann sogar erkennen, wenn Sie den Task-Manager öffnen, und ihre Aktivität dann pausieren. Das bedeutet, dass Sie niemals eine CPU-Auslastungsspitze und niemals den Namen des Programms sehen, das alle Ihre Ressourcen verbraucht. 

    Manchmal erscheint ein Mining-Virus als dateilose Malware: Befehle, die vom Arbeitsspeicher des Computers ausgeführt werden, oder essentielle Betriebssystemoperationen. Das macht es wesentlich schwieriger, ihn zu entdecken.

    Die Rechenleistung eines Privatcomputers ohne Erlaubnis zu nutzen und die Produktivität und Lebensdauer der Hardware zu beeinträchtigen, ist schon schlimm genug. Noch schlimmer und invasiver ist es aber, wenn die Malware in das Innenleben eines Computers eindringt, seine Funktionalität einschränkt und jede ihrer Spuren verschleiert.

    Wenn Sie kürzlich ein Programm heruntergeladen haben, das wie das Original aussah, aber in Wirklichkeit nicht das Original war, haben Sie möglicherweise Kryptowährung-Malware installiert. Ein konkretes Beispiel dafür ist Auto Refresh Plus, das sich als obligatorisches Update für Mozilla Firefox tarnt. Sobald es installiert ist, beginnt es im Hintergrund mit dem Schürfen von Kryptowährungen, während es Sie mit unerwünschter Werbung bombardiert. Sie benötigen ein Anti-Malware-Programm, um es von Ihrem System zu entfernen.

    Bekannte Cryptojacker

    Es gibt einige Namen, die Sie kennen sollten, wenn Sie über das Cryptojacking-Phänomen auf dem Laufenden bleiben wollen. Coinhive war ein Dienst, der versuchte, Kryptowährungen für einen guten Zweck abzubauen, aber schließlich böswillig ausgenutzt wurde. RoughTed, ein ganz anderes Phänomen, ist der Oberbegriff für eine groß angelegte Cyberverbrechen-Kampagne, die verschiedenste Angriffsarten umfasste. Sehen wir uns das Ganze genauer an.

    Was ist Coinhive?

    Coinhive begann als legale Alternative zu Werbung und generierte Einnahmen mit den CPU-Ressourcen Ihres PCs, während Sie sich auf einer Webseite befanden. Die Idee war toll – durch ein Skript auf der Website wurde der Computer angewiesen, die Kryptowährung Monero zu schürfen. Im Gegenzug brauchte die Webseite keine Anzeigen mehr zu schalten! 

    Es gab viele Einsatzmöglichkeiten dafür. UNICEF Australien sammelte z. B. Spenden mithilfe von Coinhive. Auf der Webseite stand „Give hope, just by being here“ (Gib Hoffnung, indem du einfach nur hier bist). Solange die Seite in einem Browser geöffnet war, schürfte der Computer der Person kontinuierlich Moneros und generierte Spenden. 

    Die ursprüngliche Absicht hinter Coinhive war, nur einen Teil der Rechenleistung eines Privatcomputers zu nutzen, aber Cryptojacker überspannten den Bogen und verlangsamten den Computer so sehr, dass er sich kaum noch nutzen ließ.

    Was ging hier schief? Einige wenige böswillige Akteure nutzten die Technologie zu ihrem persönlichen Vorteil aus. Coinhive verbreitete sich stark auf gehackten Websites. Die ursprüngliche Absicht hinter Coinhive war, nur einen Teil der Rechenleistung eines Privatcomputers zu nutzen, aber Cryptojacker überspannten den Bogen und verlangsamten den Computer so sehr, dass er sich kaum noch nutzen ließ. 

    Auch den National Health Service (NHS) in Großbritannien erwischte es: Seine Software BrowseAloud, mit der sich blinde Benutzer Websites vorlesen lassen können, wurde mit Coinhive infiziert und zum Schürfen von Moneros missbraucht. Abgesehen von der gestiegenen CPU-Auslastung war der Sicherheitsverstoß selbst viel alarmierender: Die Vorstellung, wie viele private Informationen hätten abgegriffen werden können, war beängstigend.

    Werbeblocker und Antivirus-Software mussten aktualisiert werden, um die Ausführung dieser Skripte zu blockieren, und Cryptojacking wurde als echter Sicherheitsverstoß eingestuft. Es wurde Websites einfach zu leicht gemacht, ohne Erlaubnis zu schürfen.

    Und leider fragten selbst die Dienste, denen es eigentlich um ethisches Schürfen von Kryptowährungen ging, die Benutzer nicht nach Erlaubnis, sodass auch mögliche Befürworter abgeschreckt wurden. Genau das passierte bei der Peer-to-Peer-Filesharing-Website „The Pirate Bay“, die von Bannerwerbung auf Coinhive umstieg, ohne dies mitzuteilen. Aber nicht nur das: The Pirate Bay konfigurierte Coinhive falsch, was bei Benutzern zu einem massiven Anstieg der CPU-Nutzung führte, wenn sie die Website besuchten. 

    The Pirate Bay erhielt daraufhin dadurch massive negative Reaktionen. Da die Technologie sich offensichtlich auf so vielfältige Weise missbrauchen ließ, war Cryptomining als Alternative für Werbung im Prinzip tot. Im Jahr 2019 stellte Coinhive den Betrieb ein.

    Was ist RoughTed?

    RoughTed ist eine organisierte Cyberverbrechen-Kampagne, die den Blick auf Cybersicherheit nochmal stark verändert hat. Angenommen, Malware könnte sich etwas zunutze machen, das wir jeden Tag im Internet sehen: Werbung. Wenn Hacker die Werbenetzwerke von Drittanbietern nutzen könnten, die Anzeigen im gesamten Internet schalten, wäre die Hälfte der Arbeit für sie schon erledigt. Sie könnten einen groß angelegten, mehrgleisigen Angriff durchführen, der so weit gestreut wäre, dass er nicht nur eine große Zahl von Menschen treffen würde, sondern auch einer leichten Aufdeckung entgehen würde.

    Genau das gibt es tatsächlich in der Realität, und nicht nur in unseren Vorstellungen. Es nennt sich Malvertising. Auf Websites im ganzen Internet werden Computer durch Werbeanzeigen dazu aufgefordert, Kryptowährungen zu schürfen. 

    Aber wie bringt man ein Werbenetzwerk dazu, unseriöse Anzeigen zu schalten?

    • Verschleierung. Es wird Code genutzt, der harmlos aussieht. Programmiersprachen sind schließlich auch nur Sprachen. Malvertising-Kampagnen können durch das Umschreiben von Code an bestimmten Filtern vorbei gelangen.

    • Nutzung unseriöser Werbenetzwerke. Es gibt Netzwerke, die Anzeigen auf der Website der New York Times schalten, und solche, die Anzeigen auf Websites für Glücksspiele oder Pornografie schalten. Welche Websites interessieren sich wohl mehr dafür, welche Folgen die Werbung für ihre Benutzer haben könnte? Die NYT wird ihren Ruf nicht ohne Weiteres aufs Spiel setzen, aber wenn ein Glücksspielanbieter zusätzliche Einnahmen wittert, wird er sich nicht weiter für die Art der Werbung interessieren.

    • Anzeigen, die seriös wirken. Sie vermuten, dass es einen Zusammenhang zwischen dem Aussehen einer Anzeige und dem gibt, was sie hinter den Kulissen verbirgt? Nein, es gibt keinen. Eine Anzeige kann für alles Mögliche werben, ansprechend und elegant aussehen – und trotzdem schädlichen Code enthalten.

    • Kapern eines bestehenden Werbenetzwerks. Seriöse Websites wie The New York Times sind auch nicht gefeit vor unerwünschten Übernahmen. Tatsächlich wurden auf der NYT-Website im Jahr 2016 ohne ihr Wissen schädliche Anzeigen geschaltet, die alle von einem kompromittierten Anzeigennetzwerk stammten. RoughTed konnte bisher nicht gestoppt worden, obwohl es sogar das Content Distribution Network von Amazon nutzt.

    • Umleiten. Das ist die Methode, über die Benutzer am häufigsten mit Malware in Kontakt kommen. Die Anzeige führt ein Skript aus, durch das der Benutzer an einen bösartigen Server umgeleitet wird - aber nur, wenn der Benutzer veraltete Software verwendet. Bei vielen Benutzern richten solche bösartigen Anzeigen keinen Schaden an. Das macht es schwieriger, sie zu entdecken.

    • Immer wieder umleiten. Endloses Umleiten (oder ein paar legitim wirkende Umleitungen) verschleiern für die Opfer als auch für die Hosts jedwede zwielichtige Aktivität.

    So kann sich Cryptojacking im Internet ausbreiten. Cryptojacking gehört aber noch zu den moderateren Verstößen von RoughTed. Auch persönliche Daten sind gefährdet und Geräte werden zur Zielscheibe von Infektionen mit verlangsamender Malware. Deshalb ist es so wichtig zu wissen, wie man Cryptojacking und andere Malware erkennt und vorbeugt.

    So erkennen Sie, ob Ihr Gerät infiziert ist

    Als Erstes prüfen Sie die CPU-Temperatur. Eine hohe CPU-Auslastung ist oft ein Warnzeichen. Bei einer Cryptojacking-Infektion arbeitet Ihr Computer wesentlicher langsamer als gewöhnlich, und der Lüfter klingt wie ein Düsentriebwerk. Das liegt an der Cryptojacking-Software, die alle Ressourcen Ihres Computers nutzt, um Kryptowährungen zu schürfen. Um sicherzugehen, öffnen Sie den Task-Manager und prüfen Sie die Registerkarte „Leistung“, wobei Sie besonders auf die CPU achten sollten. Wenn die CPU-Auslastung bei 80 % oder 90 % liegt, ohne dass Programme geöffnet sind, ist definitiv etwas nicht in Ordnung.

    The "Performance" tab showing CPU performance in Windows Task Manager.

    Sie sollten außerdem wissen, wie man Bitcoin-Mining erkennt. Die Überbeanspruchung von CPU und GPU verlangsamt die Systemverarbeitung manchmal bis zur Überhitzung. Beim Erkennen von Bitcoin-Mining-Malware geht es nicht nur darum, ein lästiges Phänomen auf Ihrem Gerät zu beseitigen, sondern auch darum, die Lebensdauer des Geräts zu verlängern. Die Android-Malware Loapi zum Schürfen von Moneros hat Geräte sogar zum Aufplatzen durch Überhitzung gebracht.

    Kryptowährung-Miner können sich auch als Adware tarnen. Achten Sie auf die typischen Anzeichen für Adware auf Ihrem Gerät. Dazu gehören Werbeanzeigen, die dort erscheinen, wo sie nicht erscheinen sollten, und ein Webbrowser, der ein Eigenleben entwickelt, zum Beispiel neue Symbolleisten installiert oder seltsame Websites aufruft.

    So entfernen Sie einen Bitcoin-Mining-Virus

    Das Entfernen eines Bitcoin-Miners funktioniert weitgehend so wie das Entfernen anderer Malware

    Als Erstes sollten Sie ein verlässliches Antivirus-Programm ausführen. AVG AntiVirus FREE ist z. B. ein erstklassiges Tool für die Cybersicherheit, mit dem Sie Malware entfernen und zukünftige Infektionen blockieren können. Wir zeigen Ihnen, wie Sie mit diesem Tool Ihren Computer von Mining-Viren befreien. Laden Sie AVG AntiVirus FREE herunter und installieren Sie es.

    Holen Sie es sich für PC, Mac, iOS

    1. Öffnen Sie AVG AntiVirus FREE. Sie können auf Smart-Scan ausführen klicken, aber es kann auch empfehlenswert sein, eine andere Art von Scan auszuführen, da Mining-Viren so schwer aufzufinden sind. Um einen anderen Scan auszuführen, klicken Sie auf die drei Punkte neben „Smart-Scan ausführen“.

      The main window for AVG Free Antivirus, with "Run Smart Scan" and the three dots next to it circled.

    2. Wählen Sie Startzeit-Prüfung aus. Bei diesem umfassenden Scan wird intensiver nach versteckten Bedrohungen gesucht.

      The three dots next to Run Smart Scan have been clicked, and different scan options are shown.

    3. Prüfen Sie die Optionen. Scrollen Sie nach unten und klicken Sie auf „Bestätigen“.

      The options for a Boot-time scan are shown.

    4. Klicken Sie auf Beim nächsten Neustart des PC ausführen, um die Startzeit-Prüfung festzulegen.

      The final confirmation screen for Boot-time scan is shown; a big green button that says "Run on Next PC Reboot."

    5. Starten Sie Ihren PC neu, um die Startzeit-Prüfung durchzuführen. Wenn ein Mining-Virus oder eine andere Bedrohung entdeckt wird, können Sie sie sofort löschen.

    6. AVG AntiVirus FREE scannt Ihren Computer regelmäßig, um Sie vor weiteren Infektionen zu schützen.

    Wo wir gerade beim Thema gute Gewohnheiten sind: Nehmen Sie sich einen Moment Zeit, um Ihre Browser- und Suchhistorie zu löschen. Das sind Dateien, die Ihr Computer speichert und aufruft, wenn Sie eine Website besuchen, damit er die Dateien nicht noch einmal herunterladen muss. Und wenn Sie schon mal dabei sind, können Sie auch gleich Ihre Browser-Cookies löschen. In Browser-Cookies werden Informationen gespeichert, und durch das regelmäßige Löschen können Sie verhindern, dass sich schädliche Cookies in Ihrer Festplatte festsetzen.

    So schützen Sie sich gegen Coinhive und andere Mining-Viren

    Der beste Schutz vor Malware aller Art ist Vorsorge. Hier sind einige einfache Dinge, die Sie beachten sollten.

    • Klicken Sie nicht auf dubiose Links. Klicken Sie nicht auf URLs, die seltsam aussehen oder Schreibfehler enthalten. Im Zweifelsfall können Sie die URL googeln und anhand der Beschreibung auf der Ergebnisseite prüfen, ob die Website seriös ist oder nicht. Vermeiden Sie es, wahllos auf gekürzte URLs zu klicken, z. B. in YouTube-Kommentaren.

    • Sehen Sie sich E-Mails genau an, bevor Sie Anhänge herunterladen oder auf Links klicken. Werfen Sie einen Blick auf die E-Mail-Adresse, um zu prüfen, ob sie echt ist oder nicht. „Account-security@facebok.com“ ist sicher keine echte E-Mail-Adresse, da „Facebook“ falsch geschrieben ist. Tippfehler oder seltsame Formulierungen sind weitere Anzeichen für gefälschte E-Mails. Und seien Sie immer auf der Hut vor Phishing-E-Mails, in denen Sie aufgefordert werden, Ihr Passwort oder andere persönliche Daten einzugeben.

    • Verwenden Sie eine Anti-Mining-Browsererweiterung. Bestimmte Erweiterungen wie minerBlock können Websites daran hindern, Ihren Computer zum Schürfen von Kryptowährungen zu missbrauchen. Informieren Sie sich vor der Installation gründlich über eine Erweiterung, und stellen Sie sicher, dass Sie über ein leistungsstarkes Antivirus-Programm verfügen, damit Sie geschützt sind, falls sich Erweiterungen oder Anwendungen als bösartig erweisen sollten.

    • Sehen Sie regelmäßig im Task-Manager nach. Auf der Registerkarte Prozesse können Sie sehen, welche Prozesse die meisten Ressourcen verbrauchen. Internetbrowser können viel Arbeitsspeicher verbrauchen, besonders wenn zahlreiche Tabs geöffnet sind. Aber wenn unerklärliche Aktivitäten zu sehen sind oder Ihre CPU eine 90%ige Auslastung zeigt, obwohl nur wenige Registerkarten geöffnet und andere Programme geschlossen sind, sollten Sie weiter nachforschen.img_06

    Schützen Sie Ihre Geräte mit leistungsstarker Antivirus-Software

    AVG AntiVirus FREE ist eine außergewöhnlich robuste Sicherheitssoftware. Sie schützt Ihren Computer nicht nur durch Sicherheits-Updates in Echtzeit, sondern scannt ihn auch auf Malware und Leistungsprobleme und fängt bösartige Downloads ab, bevor Infektionen die Chance haben, sich einzunisten.

    Und dank des neuen, erfrischend einfachen Designs sorgt AVG AntiVirus FREE für Sicherheit, ohne Sie auszubremsen. Laden Sie es herunter und installieren Sie es noch heute, um alle oben beschriebenen Arten von Malware zu blockieren, einschließlich hinterhältiger dateiloser Malware. Sie profitieren von einem kostenlosen Rund-um-die-Uhr-Schutz.

    Holen Sie es sich für PC, Mac, iOS

    Schutz für Ihr iPhone mit AVG Mobile Security

    Kostenlose Installation

    Schutz für Ihr Android-Gerät mit AVG AntiVirus

    Kostenlose Installation