Angst einflößende Schadsoftware: Scareware
Schadsoftware, englisch "Malware", gibt es für viele verschiedene Zwecke. In diesen und den folgenden Texten geht es auf eine kleine Rundreise durch die Welt der Schadsoftware. Den Anfang macht die sog. "Scareware": Schadsoftware, die zwar viel bellt, aber meist nicht beißt.
Scareware - was ist das?
Die Bezeichnung "Scareware" ist eine Zusammensetzung aus "scare" (Schrecken) und "software". Ihr einziger Zweck: Die Benutzer zu verunsichern und dadurch zu unüberlegten Handlungen zu verleiten. Meist (aber nicht immer) tritt Scareware als angeblicher Virenscanner auf und meldet einen tatsächlich gar nicht vorhandenen Schädlingsbefall. Diese Fake-Virenscanner bieten dann an, die Schädlinge zu beseitigen - wofür aber die "Vollversion" des entsprechenden Produkts notwendig ist, die leider Geld kostet. Die ist natürlich ebenso funktionsunfähig wie der erste angebliche Scanner, kann aber natürlich die gar nicht vorhandenen Schädlinge "entfernen": Sie schaltet einfach die Warnung davor aus.
Während die Scareware selbst i.A. (bis auf die störenden falschen Warnungen) harmlos ist, kann die ggf. gekaufte Version weitere Schadfunktionen enthalten und stellt damit ein Trojanisches Pferd dar. Vorerst geht es aber weiter um die Scareware. Die kann z.B. im Rahmen einer Drive-by-Infektion auf den Rechner gelangen, aber auch aus z.B. mittels Flash nachgeahmten (Fehler)meldungen des Betriebssystems oder von Anwendungen bestehen. Wenn sie auf Mac-OS-X-Systemen also mal eine Windows-Fehlermeldung zu sehen bekommen, versucht sehr wahrscheinlich gerade Scareware, Ihnen Angst zu machen.
Tarnen, täuschen, einschleichen...
Scareware tritt in vielen verschiedenen Variationen auf. Fake-Virenscanner geben sich meist den Anschein echter bekannter Virenscanner. Z.B. als über Drive-by-Infektionen verbreitete angebliche Microsoft Security Essentials, von denen dann prompt ein angeblicher Schädling entdeckt wird. Der kann angeblich nicht entfernt werden, daher wird eine Auswahl anderer Programme vorgeschlagen, von denen nur AntiSpySafeguard, Major Defense Kit, Peak Protection, Pest Detector und Red Cross die Infektion beseitigen können - alles Fake-Virenscanner. Wurde einer davon ausgewählt, kopiert sich der Fake-Scanner selbst ins Programmverzeichnis und gibt sich als der entsprechende Scanner aus. Danach werden weitere angebliche Schädlinge "entdeckt", die gegen Bezahlung entfernt werden können.
Ein anderer Fake-Virenscanner, der Microsofts Security Essentials nachahmt, nennt sich Security Essentials 2010 und bringt gleich eine ganze Reihe fieser Tricks mit: Außer als Fake-Scanner zu agieren beendet er unerwünschte Programme (vor allem natürlich echte Schutzprogramme), installiert einen Bildschirmhintergrund mit einer Virenwarnung, lockert die Sicherheitseinstellungen in der Registry und lädt weiteren Schadcode nach, der u.a. beim Besuch harmloser Websites eine Virenwarnung einblendet.
Ein weiteres Beispiel für einen Fake-Virenscanner wird über gefälschte Warnungen im Webbrowser verbreitet. Dabei werden Internet Explorer, Chrome und Firefox erkannt und jeweils angepasste Warnungen vor einer gefährlichen Webseite ausgegeben. Zur Beseitigung einer möglichen Infektion wird dann der Fake-Virenscanner, der dem Aussehen der Microsoft Security Essentials angepasst ist, zum Download angeboten. Einmal installiert, findet der (natürlich gar nicht existierende) Schädlinge, die nur gegen Bezahlung entfernt werden können. Die Browser-Warnungen sehen in diesem Fall auch unter Mac OS X und Linux relativ echt aus, der Fake-Virenscanner selbst läuft aber nur unter Windows. Wobei sich das durchaus in Zukunft auch ändern kann.
Ein weiterer Fake-Virenscanner gibt sich mit gefälschten Browser-Warnungen nicht zufrieden: Lädt der Benutzer das als Update angepriesenen Programm nicht herunter, wird er auf eine Seite weitergeleitet, die versucht, ihm die Schadsoftware als Drive-by-Infektion unter zu schieben.
Verbreitungswege
Die Cyberkriminellen nutzen u.a. Suchmaschinenoptimierung, um Benutzer auf Seiten zum Verbreiten von Schadsoftware wie Scareware/Fake-Virenscanner zu locken. Alles, was die Benutzer interessiert, kann dabei als Lockvogel dienen, wie z.B. Stuxnet (wobei außer Scareware auch noch weitere Schadsoftware eingeschleust wird), JavaScript-Entpacker, die US-Zwischenwahlen oder der Jahrestag von 9/11.
Social Networks dienen ebenfalls als Lockvogel, z.B. eine E-Mail mit der Bestätigung einer angeblichen Passwortänderung bei Facebook, die eine als PDF-Datei getarnte EXE-Datei als Anhang enthält - den Fake-Virenscanner. Per E-Mail werden z.B. auch angebliche Rechnungen und falsche Todesmeldungen verbreitet, die die Empfänger auf Seiten mit Fake-Virenscannern locken sollen.
Auch kompromittierte harmlose Websites können zum Verbreiten von Scareware missbraucht werden, wie z.B. opengraphprotocol.org oder die US-Download-Seite von Kaspersky.
Viele Anbieter echter Virenscanner bieten auch einen Online-Scanner für den schnellen Test zwischendurch an. Auch die Cyberkriminellen wollen da natürlich nicht zurück stehen und haben ein ähnliches Angebot, nur eben als Fake-Onlinescanner. Auch der "findet" natürlich Schädlinge und bietet ein kostenpflichtiges Programm zu deren Entfernung an.
Verbesserte Tarnung
Um die Fake-Virenscanner noch echter erscheinen zu lassen, bieten die Cyberkriminellen teilweise sogar einen echten Live-Support an. Und den sogar rund um die Uhr, etwas, was nicht mal alle Anbieter echter Virenscanner schaffen. Außer über Chat ist der Support auch per Telefon und E-Mails (die sogar in der jeweiligen Landessprache geschrieben werden können) erreichbar.
Es gibt auch Fake-Virenscanner, die zumindest einige echte Schädlinge erkennen. Dazu enthält der Fake-Scanner z.B. eine (i.A. veraltete) Kopie des Open-Source-Scanners ClamAV, was den Fake-Scanner aber noch lange nicht zu einem echten Scanner macht.
Böse Marketing-Fehler
David Harley von ESET hat sich vor einiger Zeit Gedanken über "Scareware and Legitimate Marketing" gemacht und gefragt, ob nicht Antiviren-Hersteller durch ungeschickte Werbung den Cyberkriminellen mit ihren Fake-Virenscannern in die Hände spielen. Insbesondere CheckPoint hat sich in diesem Zusammenhang negativ hervorgetan: ZoneAlarm warnte vor einem nicht vorhandenen Schädling und empfahl den Kauf der Internet Security Suite mit integriertem Virenscanner. Die angeblich gut gemeinte Warnung war so ungeschickt formuliert, dass sie viele Benutzer verunsicherte und in Schrecken versetzte - genau wie Scareware.
Scareware entfernen
Die im Browser eingeblendeten Warnungen wird man ganz einfach los: Einfach die Seite verlassen, und das Problem ist erledigt. Wurde ein Fake-Virenscanner installiert oder hat er sich über eine Drive-by-Infektion selbst im System eingenistet, wird die Entfernung schwieriger.
Die harmlosen Varianten von Scareware kann man problemlos manuell entfernen, teilweise bringen sie sogar eine Uninstall-Funktion mit. Zum manuellen Entfernen reicht es meist aus, die Programme zu beenden und die Dateien sowie die zugehörigen Registry-Einträge zu löschen. Welche Prozesse zum Fake-Virenscanner gehören, verraten der Windows Task Manager oder der Process Explorer. Die zugehörigen Registry-Einträge verrät Autoruns, mit dem sie auch deaktiviert werden können.
Hartnäckigere Exemplare lassen sich mit den entsprechenden Tools der echten Antiviren-Produkte beseitigen, so wird z.B. Microsofts Malicious Software Removal Tool regelmäßig an neue Schädlinge angepasst.
Infektionen verhindern
Der beste Schutz vor einer Infektion mit den sich über Warnungen einschleichenden Varianten besteht in deren Ignorieren: Plötzlich auftauchende Warnungen vor einer Infektion des Rechners, die weder vom eigenen Virenscanner noch von einem extra aufgesuchten seriösen Online-Scanner stammen, sind immer verdächtig. Erst recht, wenn sie zum Kauf eines Programms auffordern. Virenscanner (und generell auch alle andere Software) sollte man nur aus seriösen Quellen beschaffen. Zwar wäre es am sichersten, nur Virenscanner der bekannten Hersteller zu verwenden - aber wie sollten dann neu, seriöse Scanner eine Chance bekommen? Eine (allerdings nicht vollständige) Liste seriöser Scanner gibt es indirekt z.B. bei VirusTotal. Die Website ist zwar eigentlich zur Untersuchung verdächtiger Dateien gedacht, die Liste verwendeter Scanner liefert aber auch einen Überblick über richtige Scanner, dann Fake-Versionen sind darauf nicht enthalten.
Vor Drive-by-Infektionen schützen bis zu einem gewissen Grad entsprechende Schutzprogramme sowie die Verwendung aktueller Versionen von Webbrowser und Plugins. Beides hilft aber nicht, wenn ein bisher unbekannter Schädling eine 0-Day-Schwachstelle ausnutzt, die von der Verhaltensanalyse des Schutzprogramms nicht erkannt wird.
Erpresserische Scareware
Ein Beispiel für Scareware, die nicht als Fake-Virenscanner daher kommt, ist ein angeblicher Antipiraterie-Scanner, der ebenso angebliche Urheberrechtsverletzungen entdeckt haben will. Um einer Strafverfolgung zu entgehen, soll das Opfer im Rahmen einer außergerichtlichen Einigung Geld zahlen. Diese Scareware gehört in gewisser Weise schon zur Lösegeld erpressenden Ransomware, um die es in der nächsten Folge geht.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : LizaMoon - Massenhack mit minimalen Folgen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kritische Schwachstellen, Schadsoftware - und Apple steckt den Kopf in den Sand
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Googles Kampf gegen Cyberkriminelle - Googliath gegen viele Davids?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Lilupophilupop - Eine SQL-Injection-Welle ist unterwegs
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Warum man Schadcode nie ungefragt durch harmlosen Code ersetzen sollte
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen über präparierte Werbung
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Neues zu Schad- und Antivirus-Software. Mehr Schlechtes als Gutes
Vorschau anzeigen