So entfernen Sie den RedHook-Trojaner von Ihrem Android-Gerät

Was für eine Art von Malware ist RedHook?

RedHook ist ein Banking-Trojaner, der auf Android-Betriebssysteme abzielt. Dieses Schadprogramm existiert mindestens seit Herbst 2024 und ist in mehreren Versionen verfügbar. Es gibt Hinweise darauf, dass die hinter dieser Malware stehenden Akteure chinesischsprachig sind.

Zum Zeitpunkt der Erstellung dieses Artikels wurden aktuelle Kampagnen beobachtet, die sich über gefälschte Webseiten, die legitime Finanz- und Regierungswebseiten imitieren, an Nutzer in Vietnam richten.

Übersicht über die RedHook Malware

RedHook ist ein Banking-Trojaner, der, wie die Klassifizierung schon sagt, darauf abzielt, finanzbezogene Daten von Geräten zu stehlen. Dieses Programm verfügt jedoch auch über RAT-Funktionen (Remote Access Trojan) und mehrere Funktionen zum Stehlen von Informationen. Es gibt mehrere Varianten dieses Trojaners, der unter dem Deckmantel echter oder legitim klingender Anwendungen in Geräte eindringt.

Zum Zeitpunkt der Erstellung dieses Artikels verbreitet eine der neuesten Kampagnen RedHook als Banking-App der State Bank of Vietnam. Nach der Infiltration versucht die Malware, verschiedene Berechtigungen zu erhalten. Zunächst wird dem Opfer eine Aufforderung angezeigt, seine Anmeldedaten für das Bankkonto einzugeben. Anschließend fordert die bösartige App Zugriff auf Mediendateien, und das Opfer wird aufgefordert, die Android-Barrierefreiheitsdienste zu aktivieren und Overlay-Berechtigungen zu erteilen.

Sobald diese erteilt sind, stellt RedHook eine Verbindung zu seinem C&C-Server (Command and Control). Der Trojaner beginnt mit der Erfassung relevanter Daten, darunter die Marke des Smartphones, die Gerätenummer, die Bildschirmausrichtung, die Art der Bildschirmsperre usw.

Wie bereits erwähnt, missbraucht RedHook die Accessibility Services – ein für Android-Malware typisches Verhalten. Die Android Accessibility Services wurden entwickelt, um Benutzern, die dies benötigen, zusätzliche Hilfe bei der Interaktion mit dem Gerät zu bieten. Ihre Funktionen sind umfangreich und umfassen das Lesen des Gerätebildschirms, die Simulation des Touchscreens (z. B. kurze/lange Tippen, Wischen usw.), die Interaktion mit der Tastatur und vieles mehr. Durch den Missbrauch dieser Dienste erhält die Schadsoftware Zugriff auf alle ihre Funktionen.

Um an Bank-, Finanz- und andere private Daten zu gelangen, setzt RedHook auf Overlay-Angriffe, Keylogging (Aufzeichnung von Tastenanschlägen) und Bildschirmaufzeichnungen. Im Wesentlichen umfassen Overlay-Angriffe Phishing-Bildschirme, die Bildschirme/Seiten echter Anwendungen imitieren. Wenn ein Opfer also eine App öffnet, die es interessiert, wird diese mit einem identischen Phishing-Bildschirm überlagert, der eine Registrierungs-, Anmelde- oder andere Seite imitiert, auf der die eingegebenen Informationen aufgezeichnet werden.

RedHook verwendet bekanntermaßen das folgende Verfahren, um sensible Daten zu extrahieren. Zunächst wird das Opfer gebeten, ein Foto seines Personalausweises zur Überprüfung hochzuladen. Anschließend zeigt der Trojaner ein Formular an, in dem verschiedene private Daten wie der vollständige Name, das Geburtsdatum, die Adresse, der Name der Bank, die Kontonummer usw. des Opfers abgefragt werden. Zuletzt wird das Opfer nach seinem 4-stelligen Passwort und dem 6-stelligen 2FA-Code (Zwei-Faktor-Authentifizierung). Die Malware sendet die eingegebenen Informationen sofort an ihren C&C-Server.

Trotz der aktiven Kampagnen von RedHook in Vietnam waren diese Bildschirme jedoch auf Indonesisch – dies deutet darauf hin, dass sich der Trojaner möglicherweise noch in der Entwicklung befindet und die Anpassung an die Region noch nicht abgeschlossen ist.

Die Malware fungiert auch als RAT – d. h., sie kann Fernzugriff/Fernsteuerung über infizierte Geräte herstellen. Ihre RAT-Fähigkeiten werden über WebSocket ermöglicht. Sie kann 34 verschiedene Befehle auf kompromittierten Systemen ausführen.

Zu den wichtigsten Befehlen gehören: Liste der installierten Apps abrufen, App deinstallieren, laufende App beenden (in der untersuchten Version nicht implementiert), Anforderung der Berechtigung zur Installation einer App, Herunterladen/Installieren einer APK-Datei, Sperren/Entsperren des Smartphones, Neustarten des Betriebssystems, Sammeln von Daten über/auf dem aktiven Bildschirm, Anzeigen des Startbildschirms/der zuletzt angezeigten Bildschirme, Aufnehmen von Fotos mit den Kameras des Geräts, Abrufen von Kontaktlisten, Sammeln von SMS-Nachrichten, Kopieren von Text in die Zwischenablage usw.

RedHook kann verschiedene Methoden verwenden, um zusätzliche Inhalte in Systeme einzuschleusen, sodass es zur Auslösung von Ketteninfektionen genutzt werden kann. Theoretisch könnte die Malware für nahezu jede Art von Infektion verwendet werden (z. B. Trojaner, Ransomware usw.), in der Praxis jedoch wahrscheinlich nur innerhalb bestimmter Spezifikationen/Einschränkungen.

Es muss erwähnt werden, dass Malware-Entwickler ihre Software und Methoden häufig verbessern. Daher könnten zukünftige Versionen von RedHook zusätzliche oder andere Funktionen aufweisen.

Zusammenfassend lässt sich sagen, dass das Vorhandensein des RedHook-Trojaners auf Geräten zu mehreren Systeminfektionen, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.

Beispiele für Banking-Trojaner

PhantomCard, DoubleTrouble, TsarBot und Marcher sind nur einige unserer Artikel über Android-spezifische Banking-Trojaner. Der Begriff „Trojaner” ist unglaublich weit gefasst und umfasst Malware mit einer Vielzahl von Funktionen, die von der Ermöglichung des Fernzugriffs bis zum Datendiebstahl reichen.

Unabhängig davon, wie eine Schadsoftware funktioniert, gefährdet ihre Präsenz auf einem Gerät dessen Integrität und die Sicherheit des Benutzers. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung entfernt werden.

Wie ist RedHook auf mein Gerät gelangt?

Wie in der Einleitung erwähnt, wurde RedHook über bösartige Websites verbreitet, die sich als legitime Finanz- und Regierungswebsites ausgaben. Zu den bekannten Tarnungen/Verbindungen, die von den Webseiten verwendet werden, gehören die Staatsbank von Vietnam, die offizielle Website der vietnamesischen Regierung, die Saigon Thuong Tin Commercial Joint Stock Bank (Sacombank) , die vietnamesische Verkehrspolizei (Cảnh sát giao thông – CSGT), Central Power Corporation usw.

Die betrügerischen Seiten verleiten die Opfer dazu, diesen Banking-Trojaner unter dem Deckmantel echter (oder echt klingender) Anwendungen herunterzuladen/zu installieren. RedHook kann jedoch auch andere Tarnungen annehmen oder mit anderen Techniken verbreitet werden.

Es ist anzumerken, dass die Cyberkriminellen, die diesen Trojaner einsetzen, über umfangreiche Erfahrung mit Social-Engineering-Betrug verfügen, da sie diesen bereits vor dem Umstieg auf Banking-Malware betrieben haben. Im Allgemeinen wird Malware durch Phishing und Social-Engineering-Taktiken verbreitet. Schädliche Software wird in der Regel als gewöhnliche Programme/Medien präsentiert oder mit diesen gebündelt.

Zu den gängigsten Methoden der Malware-Verbreitung gehören: Online-Betrug, Drive-by-Downloads (heimliche/betrügerische Downloads), nicht vertrauenswürdige Download-Quellen (z. B. Freeware- und kostenlose Datei-Hosting-Websites, P2P-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), Spam-Mails (z. B. E-Mails, DMs/PMs, SMS usw.), Malvertising, raubkopierte Inhalte, illegale Software-Aktivierungs- („Cracking”) und gefälschte Updates.

Darüber hinaus können sich einige Schadprogramme über lokale Netzwerke und Wechseldatenträger (z. B. USB-Sticks, externe Festplatten usw.) selbst verbreiten.

Wie kann man die Installation von Malware vermeiden?

Wir empfehlen Ihnen dringend, beim Surfen im Internet wachsam zu sein, da das Internet voller betrügerischer und bösartiger Inhalte ist. Eingehende E-Mails und andere Nachrichten müssen mit Vorsicht behandelt werden. Anhänge oder Links in verdächtigen/irrelevanten Nachrichten dürfen nicht geöffnet werden, da sie infektiös sein können.

Eine weitere Empfehlung ist, nur gut recherchierte Software von offiziellen und verifizierten Kanälen herunterzuladen. Darüber hinaus müssen alle Programme mit Funktionen/Tools von legitimen Entwicklern aktiviert und aktualisiert werden, da solche von Drittanbietern Malware enthalten können.

Wir müssen betonen, wie wichtig es ist, ein seriöses Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Mit Sicherheitssoftware müssen regelmäßige Systemscans durchgeführt und erkannte Bedrohungen/Probleme beseitigt werden.

Screenshots des RedHook-Trojaners, der Berechtigungen anfordert (Bildquelle – Cyble-Blog):

Screenshot einer gefälschten Website der vietnamesischen Staatsbank, über die RedHook verbreitet wird (Bildquelle – Cyble-Blog):

Schnellmenü:

• Einführung
• Wie löscht man den Browserverlauf im Chrome-Webbrowser?
• Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf im Firefox-Webbrowser?
• Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
• Wie bootet man das Android-Gerät im "abgesicherten Modus"?
• Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
• Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
• Wie kann ich die neuesten Software-Updates installieren?
• Wie setzt man das System auf den Standardzustand zurück?
• Wie kann ich Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.

Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).

[Zurück zum Inhaltsverzeichnis]

Setzen Sie den Chrome-Webbrowser zurück:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".

Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".

Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".

[Zurück zum Inhaltsverzeichnis]

Setzen Sie den Firefox-Webbrowser zurück:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".

Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im "abgesicherten Modus":

Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).

Drücken Sie die "Power"-Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.

Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.

Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.

[Zurück zum Inhaltsverzeichnis]

Setzen Sie das System auf den Standardzustand zurück:

Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".

Häufig gestellte Fragen (FAQ)

Mein Android-Gerät ist mit RedHook-Malware infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Das Entfernen von Malware erfordert selten eine Formatierung.

Was sind die größten Probleme, die die Malware RedHook verursachen kann?

Die mit einer Infektion verbundenen Gefahren hängen von den Fähigkeiten der Malware und den Zielen der Angreifer ab. RedHook ist ein Trojaner, der auf persönliche und bankbezogene Informationen abzielt und über umfangreiche Fernzugriffsfunktionen verfügt. Seine Präsenz auf einem Gerät kann zu mehreren Systeminfektionen, schwerwiegenden Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen.

Was ist der Zweck der RedHook-Malware?

Malware wird vorwiegend zum finanziellen Vorteil eingesetzt. Cyberkriminelle können bösartige Programme jedoch auch nutzen, um sich zu amüsieren, persönliche Racheakte durchzuführen, Prozesse (z. B. Websites, Dienste, Organisationen usw.) zu stören, Hacktivismus zu betreiben und politisch/geopolitisch motivierte Angriffe zu starten.

Wie ist die RedHook-Malware auf mein Android-Gerät gelangt?

RedHook wurde unter dem Deckmantel legitimer Anwendungen über Webseiten verbreitet, die echte Finanz- und Regierungswebsites imitieren.

Andere Verbreitungstechniken sind nicht unwahrscheinlich. Zu den gängigsten Methoden gehören: Drive-by-Downloads, Spam-Mails, Online-Betrug, Malvertising, dubiose Download-Quellen (z. B. inoffizielle und kostenlose File-Hosting-Seiten, P2P-Sharing-Netzwerke, App-Stores von Drittanbietern usw.), illegale Software-Aktivierungstools („Cracks”), raubkopierte Inhalte und gefälschte Updates. Einige Schadprogramme können sich sogar über lokale Netzwerke und Wechseldatenträger selbst verbreiten.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner wurde entwickelt, um Geräte zu scannen und alle Arten von Bedrohungen zu beseitigen. Es ist in der Lage, die meisten bekannten Malware-Infektionen zu erkennen und zu entfernen. Denken Sie daran, dass die Durchführung eines vollständigen Systemscans von größter Bedeutung ist, da sich ausgeklügelte Schadprogramme in der Regel tief im System verstecken.