Home / How-To / Sicherheit
How-To

Crypto-Mining-Virus: Ist ihr PC infiziert?

Mit dem Berechnen von Bitcoins lässt sich immer noch viel Geld verdienen. Vor allem dann, wenn man die Rechner von anderen Leuten für sich arbeiten lässt. Damit Ihre Geräte sicher sind, müssen Sie sie schützen.
Arne Arnold
Von Arne Arnold
PC-WELT
Werden Sie für Cryptomining ausgenutzt?
Image: © Bits and Splits – Fotolia.com

Krypto-Mining-Malware missbraucht Ihren PC oder Smartphone zum Erzeugen von digitalem Geld, das sich Kriminelle in die eigene Tasche schieben. Immer mehr Nutzer werden von solchen Krypto-Mining-Viren attackiert. Im Zeitraum April 2017 bis März 2018 waren das 2,7 Millionen. Gegenüber den vorangegangenen zwölf Monaten ist das ein Anstieg von 44 Prozent. Das hat der Antivirenspezialist Kaspersky herausgefunden. Auch bei den Angriffen von Krypto-Minern auf Smartphone-Nutzer gab es im selben Zeitraum einen Zuwachs um 9,5 Prozent. Allerdings sind die absoluten Zahlen bei mobilen Geräten deutlich geringer. Im Zeitraum März 2017 bis März 2018 wurden laut Kaspersky 4.931 Mobil-Nutzer attackiert. Eine Krypto-Miner-Malware befällt Ihren PC oder andere Geräte wie ein gewöhnlicher Virus, beginnt dann aber damit, Ihr Gerät zum Berechnen einer digitalen Währung zu nutzen. Um etwa Bitcoins oder Moneros zu erzeugen, müssen komplexe mathematische Aufgaben gelöst werden. Das lassen die Angreifer lieber von fremden PCs erledigen, denn das kostet viel Strom, verringert die übrige Leistung des Geräts extrem und kann einen PC durch Überhitzung sogar beschädigen. Gerade weil die Kosten für das Schürfen von digitalen Währungen so hoch sind und weil die CPU-Leistung einzelner PCs und noch mehr von Smartphones relativ gering ist, versuchen Internetkriminelle nun, ganze Netzwerke zu kapern und daraus ein Botnetz zu machen. Für die Opfer bedeutet das eine höhere Stromrechnung, sinkende Produktivität und eine kürzere Lebensdauer ihrer Geräte.

Grafikkarten: Entspannung durch Mining-Chips

Krypto-Mining per Schadsoftware auf dem PC

Der Begriff „Mining“ ist englisch und bedeutet schürfen. Statt Gold aus einem Fluss zu schürfen, lassen sich heute digitale Währungen schürfen. Diese Art von Geld wird auch als Krypto-Währung oder Crypto Currency bezeichnet. So kommt das Wort Krypto-Mining zustande. Generell ist das ein vollkommen legitimer Vorgang, der von Menschen und ihren Computeranlagen weltweit betrieben wird. Doch Kriminelle und manche Website-Betreiber wollen das Schürfen von Bitcoin & Co. nicht selber übernehmen, sondern schieben arglosen Internetnutzern die Rechenlast unter. Das geschieht per Viren und Scriptcode auf Websites. Am meisten verbreitet sind Angriffe über Webseiten. Es genügt bereits der Besuch einer manipulierten Seite, und Ihr Browser beginnt damit, digitales Geld zu errechnen. Dabei handelt es sich meist nicht um die bekannteren Bitcoins, sondern um die digitale Währung Monero. Diese lässt sich mit weniger Rechenkraft erzeugen und wird von den Hackern deshalb bevorzugt. Laut den Sicherheitsspezialisten von Kaspersky sollen die Kriminellen im Jahr 2017 in nur sechs Monaten sieben Millionen Dollar erwirtschaften haben. Kaspersky beschreibt eine weitere Angriffsmethode fürs Mining: Die Opfer werden zum Download und zur Installation von Tools verleitet, die einen versteckten Installer für Mining-Software in sich tragen. Der Installer legt eine legitime Windows-Utility-Software ab, deren Hauptzweck darin besteht, den eigentlichen Miner von einem entfernten Server herunterzuladen. Nach der Ausführung startet ein legitimer Systemprozess, dessen Code mit schädlichem Code überschrieben wird. Im Ergebnis operiert der Miner anschließend in der Maske eines legitimen Tasks. Damit kann der Nutzer den Schädling nur schwer als Mining-Infektion identifizieren.

Virenbefall smarter Geräte im Heimnetz

Die Kriminellen haben auch IoT-Geräte im Visier. Diese arbeiten zwar meist nur mit einer sehr schwachbrüstigen CPU, doch wenn es den Kriminellen gelingt, viele Tausend solcher Geräte mit ihren Viren zu kapern, dann liefert die Masse an Geräten auch genügend Rechenkraft.

Diese Kurve zeigt, wie viele im Zeitraum von April 2017 bis März 2018 von Krypto-Minern angegriffen wurden.
Diese Kurve zeigt, wie viele im Zeitraum von April 2017 bis März 2018 von Krypto-Minern angegriffen wurden.

Im Juni 2018 tauchte etwa ein Schadcode für den Fire-TV von Amazon auf. Das ist ein kleiner Rechenstick mit HDMI-Anschluss für den Fernseher. Er liefert unter anderem Videos aus den Online-Videotheken von Amazon & Co. Wer auf diesen Stick den Virencode namens ADB.Miner geladen hatte, verliert die gesamte Rechenpower des Sticks an diese App, die sofort mit der Berechnung von Moneros beginnt. Andere Anwendungen sind nicht mehr nutzbar. Außerdem kann sich der Schädling eigenständig auf anderen Geräten im Netzwerk verbreiten. Immerhin stammt ABD.Miner nicht aus dem offiziellen Amazon-Store.

Kryptomining Malware: Eine neue Cyber-Plage

Heimliches Mining auf scheinbar harmlosen Websites

Im September 2017 wurde bekannt, dass die Torrent-Seite The Pirate Bay die Rechenpower ihrer Besucher nutzte, um damit die Kryptowährung Monero zu schürfen. Pirate Bay setzte dabei den Krypto-Miner von Coinhive ein. Nach dieser Entdeckung machten sich Fachleute auf die Suche nach weiteren Websites mit dem Krypto-Miner von Coinhive sowie dem Pendant JSEcoin . Sie fanden laut dem Adblocker-Anbieter Adguard heraus, dass mindestens 500 Millionen Website-Besucher weltweit für Krypto-Mining missbraucht wurden .

Krypto-Mining auf dem Android-Smartphone

Auch Smartphone-Nutzer können Opfer von Krypto-Mining werden. Darauf weisen die Sicherheitsspezialisten von Malwarebytes hin. Die Infektion findet hier wie beim PC statt. Entweder wird das Opfer auf eine manipulierte Website geleitet, die dann den Mining-Prozess startet, oder das Opfer lädt sich eine verseuchte App aufs Smartphone.

Exotisch, aber wirkungsvoll: Mining in Docker-Images

Krypto-Mining-Code versteckt sich nicht nur in Malware, Websites und Apps, sondern sogar in Docker -Images. Docker-Images sind Softwarecontainer, die meist auf Linux-Servern eingesetzt werden. In einem Docker-Container steckt ein Programm, das komplett lauffertig konfiguriert ist. Im Juni 2018 wurde bekannt, dass Docker-Images mit einer Krypto-Mining-Hintertür zehn Monate lang über die bekannte Containerverwaltung Docker Hub verfügbar waren. Die Container-Images sollen über fünf Millionen Mal heruntergeladen worden sein, und die Angreifer sollen damit Moneros im Wert von umgerechnet 58 000 Euro verdient haben.

Apple unterbindet Mining auf iPhone und iPad

Der Hersteller Apple war bei seinem Mobilsystem iOS fürs iPhone und iPad von Anfang an sehr darauf bedacht, Viren fernzuhalten. Und das ist Apple in mehr als zehn Jahren iPhone-Entwicklung tatsächlich weitgehend gelungen. Das Krypto-Mining fällt allerdings in eine Grauzone (siehe nächsten Punkt). Dennoch hat Apple im Juni 2018 das Mining von Kryptogeld in seinen Apps verboten. Das bestimmen die Nutzungsbedingungen für den App Store, die Apple anlässlich der Entwicklerkonferenz WWDC 2018 dahingehend aktualisiert hat. Apps und die darin integrierten Werbeflächen dürfen keine Hintergrundprozesse ausführen, die Kryptogeld schürfen. Außerdem heißt es in den Bewertungsrichtlinien des App Stores, dass Apps so programmiert sein sollen, dass die Batterie sich nicht entleert, das Gerät sich nicht aufheizt und Ressourcen des Geräts nicht unnötig belastet werden. Diese Vorgabe dürfte es Entwicklern sehr schwer machen, Schlupflöcher im Krypto-Mining-Verbot der Nutzungsbedingungen zu finden.

Nicht alle Netzteilnehmer sind gegen Krypto-Mining

Für die meisten Anwender ist Krypto-Mining per Website, App oder Windows-Programm etwas absolut unerwünschtes. Allerdings gibt es auch Nutzer, die sich für das Krypto-Mining interessieren und es selber durch führen wollen. Und das gerne auf ihrem eigenen Smartphone oder PC. Wie sinnvoll das ist, darüber lässt sich allerdings streiten, denn bei den bereits erfolgreichen Crypto-Währungen wie Bitcoin und Monero bedarf es sehr viel Rechenpower oder sehr vieler Geräte, um neue Einheiten zu berechnen. Darum werden Bitcoins bevorzugt mit einen Gerätepark aus vielen hundert Grafikkarten berechnet, weil die GPUs die Bitcoin-Berechnungen sehr viel besser lösen können als die CPU.

Trotz Talfahrt im Bitcoin-Kurs lässt sich mit digitalem Geld noch einiges verdienen.
Trotz Talfahrt im Bitcoin-Kurs lässt sich mit digitalem Geld noch einiges verdienen.

Warum das Interesse am Mining per Smartphone trotzdem hoch ist, liegt wohl auch an den ganz neuen Kryptowährungen, die sich noch recht leicht errechnen lassen und die gleichzeitig einen extremen Wertzuwachs pro Einheit verbuchen. Der Wertzuwachs ergibt sich dabei aus dem börsenartig gehandelten Wert der Währung – oder kurz gesagt: Zocker treiben die Preise hoch. Auch die Betreiber von Websites sind für das Krypto-Mining zu haben. Wie oben erwähnt, setzte The Pirate Bay Mining ein. Es wird vermutet, dass die Site auf diese Weise 12 000 Dollar pro Monat erwirtschaften konnte. Mining auf Websites kann für die Betreiber also eine gute Alternative zu Werbebannern sein. Und das ist auch ihre Argumentation: Sie stellen einen Service oder Informationen für die Besucher bereit und diese bezahlen mit der Rechenpower ihrer Geräte. Dafür bleiben sie von Werbung auf der Website verschont – zumindest auf einigen Mining-Sites. Allerdings ist die Mining-Alternative zur Werbung etwas, das die meisten Nutzer (86 Prozent) ablehnen, wie eine Studie von Avast ergeben hat.

Tipp: Atomforscher wegen Bitcoin-Minings festgenommen

Krypto-Mining selber testen: Per Website oder App

Zumindest theoretisch kann man auch alleine auf seinem PC eine digitale Währung berechnen. Wer das unkompliziert ausprobieren möchte, besucht die Website https: //coinhive.com. Die Site bietet in erster Linie Miningcode für Websitebetreiber an, damit diese ihn in ihre Seiten einbauen und von ihren Besuchern ausführen lassen. Sie können den Code aber auch selber bei einem Besuch von https://coinhive.com durch einen Klick auf „Start Mining“ starten. Um einen Eindruck von der CPU-Last zu bekommen, starten Sie zuvor am besten den Windows Task-Manager (Start per Tastenkombination Windows-Alt-Entf und einen Klick auf „Task-Manager“). Klicken Sie darin auf „CPU“, damit die Liste der Prozesse nach der höchsten Belastung sortiert wird. Starten Sie dann das Mining. Ihr Browser wird sofort alle verfügbare Rechenpower an sich ziehen, Ihr PC wird kaum noch reagieren. Vorsicht, lassen Sie Ihren PC nicht zu heiß werden. Und bedenken Sie: Die Moneros, die Sie auf diese Weise auf Coinhive erstellen, gehören nicht Ihnen. Die Site behält sie. Möchten Sie das ändern, müssen Sie den Code auf Ihrer eigenen Website einbauen. Eine englischsprachige Anleitung gibt’s unter https://coinhive.com/documentation . Auch per App lässt sich ein Mining starten. Nutzen Sie dafür die App Miner Gate , um Ihr eigenes Smartphone rechnen zu lassen. Die App errechnet Bitcoin, Ethereum and Monero. Ob Sie damit Geld verdienen oder wegen hoher Stromkosten, verschlissener Geräte und anderen Problemen nicht eher draufzahlen, können wir jedoch nicht abschätzen. Der Betreiber der App verspricht Nutzern, die in seinen Service investieren, einen möglichen Profit von 200 Prozent in sechs Monaten. Das richtet sich allerdings nicht an die reinen App-Nutzer, die Moneros & Co. berechnen, sondern an Investoren, die das Gesamtsystem Miner Gate finanzieren. Auch hier können wir keine Empfehlung für oder gegen die Nutzung aussprechen.

So erkennen und blockieren Sie Krypto-Miner

Patch my PC findet Updates zwar nicht zu allen, aber zu allen gängigen Anwendungen.
Patch my PC findet Updates zwar nicht zu allen, aber zu allen gängigen Anwendungen.

Krypto-Miner können großen Schaden anrichten. Die Stromrechnung steigt, die Geräte können überhitzen und dabei die Hardware dauerhaft beschädigen, und das betroffene Gerät steht für andere Aufgaben nicht mehr bereit. Erkennen: Werden Sie misstrauisch, wenn die CPU-Auslastung Ihres PCs dauerhaft auf 100 Prozent steigt. Kontrollieren Sie das im Task-Manager (Start per Tastenkombination Windows-Alt-Entf und einen Klick auf „Task-Manager“). Steckt der Miningcode in einer Website, lässt sich dieser ganz einfach durch das Schließen des Browsers oder des Browsertabs beenden. Sollte es sich um den Prozess einer Windows-Anwendung handeln, die auf 100 Prozent läuft, googeln Sie den Namen des Prozesses. Erhalten Sie so keinen Aufschluss über den Task, nutzen Sie einen zusätzlichen Virenscanner, um Ihren PC zu untersuchen. Empfehlenswert ist Kaspersky Virus Removal Tool , das sich parallel zu Ihrem bereits installierten Antivierentool nutzen lässt. Auf einem Android-Smartphone funktioniert der Trick mit dem Taskmanager und dem CPU-Verbrauch meist nicht. Allerdings zeigt Android an, welche Apps besonders viel Akku verbrauchen. Und das erfüllt oft denselben Zweck. Sie kontrollieren den Akkuverbrauch in der App „Einstellungen“ unter „Akku –› Menüsymbol –› Akkuverbrauch“ oder ähnlich lautend. PC-Schutz: Ein gutes Antivirenprogramm sollte Sie auch gegen Krypto-Mining-Malware schützen. Empfehlenswert sind etwa die Tools Avira Free Security Suite 2018 und Kaspersky Internet Security 2018 . Gegen Krypto-Mining-Viren, die sich über Sicherheitslücken in Windows und Anwendungen einschleichen, helfen Updates für alle Programme. Nachdem der beliebte Update-Manager Personal Software Inspector nicht mehr verfügbar ist, empfehlen wir die ebenfalls kostenlose Alternative Patch my PC . Das Tool startet ohne Installation und sucht für alle gängigen Tools nach Updates. Browserschutz: Gegen Miningcode im Browser installieren Sie zum Beispiel die Browser-Erweiterung No Coin für Chrome oder Coin Block für Firefox. Oder Sie verwenden den Browser Opera ab Version 50 (Version 54), der einen Miningblocker bereits eingebaut hat. Bis zum April 2018 waren für den Browser Chrome Browser-Erweiterungen erlaubt, die Mining betreiben. Das hatte dann allerdings laut Google überhandgenommen, sodass seit April nur noch Miningapps erlaubt sind, die das klar und eindeutig bekannt geben .

So steigt die CPU-Auslastung an (blaue Kurve), wenn eine Chrome-Erweiterung mit dem Mining beginnt.
So steigt die CPU-Auslastung an (blaue Kurve), wenn eine Chrome-Erweiterung mit dem Mining beginnt.

Schließlich hilft es noch, wenn Sie Javascript im Browser unterbinden. Dann funktionieren allerdings die meisten anderen Websites nicht mehr wie gewünscht, weshalb diese Methode eher etwas für Puristen ist. Einen Tipp dazu finden Sie hier . Smartphone-Schutz und Schutz von Android-IoT-Geräten: Eine Antivirensoftware für Android-Smartphones kann gefährliche Websites und Apps erkennen. Das geht etwa mit der Schutz-App „Malwarebytes Sicherheit: Antivirus & Antimalware“ für Android, deren Grundfunktion kostenlos ist. Einen gewissen Grundschutz haben Sie, wenn Sie nur Apps aus dem offiziellen Play Store laden. Bei Geräten von Amazon, etwa dem Fire-TV-Stick, verwenden Sie nur den offiziellen App-Store von Amazon. Das hilft allerdings nicht immer. Im März 2018 wurden zwei Krypto-Miner auch im Play Store entdeckt. Infos zu dem Vorfall finden Sie hier . Einen Ratgeber zu den Herstellern, die für alle Geräte einen guten Rundumschutz bieten, finden Sie auf Seite 26. Und natürlich sollten Sie für alle Geräte im Heimnetz einschließlich des Routers regelmäßig neue Firmware einspielen. Diese schließt neu entdeckte Sicherheitslücken in den Geräten.

vgwort

Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.

Aktuelle Beiträge von Arne Arnold: