Skip to content

Angst einflößende Schadsoftware: Scareware

Schadsoftware, englisch "Malware", gibt es für viele verschiedene Zwecke. In diesen und den folgenden Texten geht es auf eine kleine Rundreise durch die Welt der Schadsoftware. Den Anfang macht die sog. "Scareware": Schadsoftware, die zwar viel bellt, aber meist nicht beißt.

Scareware - was ist das?

Die Bezeichnung "Scareware" ist eine Zusammensetzung aus "scare" (Schrecken) und "software". Ihr einziger Zweck: Die Benutzer zu verunsichern und dadurch zu unüberlegten Handlungen zu verleiten. Meist (aber nicht immer) tritt Scareware als angeblicher Virenscanner auf und meldet einen tatsächlich gar nicht vorhandenen Schädlingsbefall. Diese Fake-Virenscanner bieten dann an, die Schädlinge zu beseitigen - wofür aber die "Vollversion" des entsprechenden Produkts notwendig ist, die leider Geld kostet. Die ist natürlich ebenso funktionsunfähig wie der erste angebliche Scanner, kann aber natürlich die gar nicht vorhandenen Schädlinge "entfernen": Sie schaltet einfach die Warnung davor aus.

Während die Scareware selbst i.A. (bis auf die störenden falschen Warnungen) harmlos ist, kann die ggf. gekaufte Version weitere Schadfunktionen enthalten und stellt damit ein Trojanisches Pferd dar. Vorerst geht es aber weiter um die Scareware. Die kann z.B. im Rahmen einer Drive-by-Infektion auf den Rechner gelangen, aber auch aus z.B. mittels Flash nachgeahmten (Fehler)meldungen des Betriebssystems oder von Anwendungen bestehen. Wenn sie auf Mac-OS-X-Systemen also mal eine Windows-Fehlermeldung zu sehen bekommen, versucht sehr wahrscheinlich gerade Scareware, Ihnen Angst zu machen.

Tarnen, täuschen, einschleichen...

Scareware tritt in vielen verschiedenen Variationen auf. Fake-Virenscanner geben sich meist den Anschein echter bekannter Virenscanner. Z.B. als über Drive-by-Infektionen verbreitete angebliche Microsoft Security Essentials, von denen dann prompt ein angeblicher Schädling entdeckt wird. Der kann angeblich nicht entfernt werden, daher wird eine Auswahl anderer Programme vorgeschlagen, von denen nur AntiSpySafeguard, Major Defense Kit, Peak Protection, Pest Detector und Red Cross die Infektion beseitigen können - alles Fake-Virenscanner. Wurde einer davon ausgewählt, kopiert sich der Fake-Scanner selbst ins Programmverzeichnis und gibt sich als der entsprechende Scanner aus. Danach werden weitere angebliche Schädlinge "entdeckt", die gegen Bezahlung entfernt werden können.

Ein anderer Fake-Virenscanner, der Microsofts Security Essentials nachahmt, nennt sich Security Essentials 2010 und bringt gleich eine ganze Reihe fieser Tricks mit: Außer als Fake-Scanner zu agieren beendet er unerwünschte Programme (vor allem natürlich echte Schutzprogramme), installiert einen Bildschirmhintergrund mit einer Virenwarnung, lockert die Sicherheitseinstellungen in der Registry und lädt weiteren Schadcode nach, der u.a. beim Besuch harmloser Websites eine Virenwarnung einblendet.

Ein weiteres Beispiel für einen Fake-Virenscanner wird über gefälschte Warnungen im Webbrowser verbreitet. Dabei werden Internet Explorer, Chrome und Firefox erkannt und jeweils angepasste Warnungen vor einer gefährlichen Webseite ausgegeben. Zur Beseitigung einer möglichen Infektion wird dann der Fake-Virenscanner, der dem Aussehen der Microsoft Security Essentials angepasst ist, zum Download angeboten. Einmal installiert, findet der (natürlich gar nicht existierende) Schädlinge, die nur gegen Bezahlung entfernt werden können. Die Browser-Warnungen sehen in diesem Fall auch unter Mac OS X und Linux relativ echt aus, der Fake-Virenscanner selbst läuft aber nur unter Windows. Wobei sich das durchaus in Zukunft auch ändern kann.

Ein weiterer Fake-Virenscanner gibt sich mit gefälschten Browser-Warnungen nicht zufrieden: Lädt der Benutzer das als Update angepriesenen Programm nicht herunter, wird er auf eine Seite weitergeleitet, die versucht, ihm die Schadsoftware als Drive-by-Infektion unter zu schieben.

Verbreitungswege

Die Cyberkriminellen nutzen u.a. Suchmaschinenoptimierung, um Benutzer auf Seiten zum Verbreiten von Schadsoftware wie Scareware/Fake-Virenscanner zu locken. Alles, was die Benutzer interessiert, kann dabei als Lockvogel dienen, wie z.B. Stuxnet (wobei außer Scareware auch noch weitere Schadsoftware eingeschleust wird), JavaScript-Entpacker, die US-Zwischenwahlen oder der Jahrestag von 9/11.

Social Networks dienen ebenfalls als Lockvogel, z.B. eine E-Mail mit der Bestätigung einer angeblichen Passwortänderung bei Facebook, die eine als PDF-Datei getarnte EXE-Datei als Anhang enthält - den Fake-Virenscanner. Per E-Mail werden z.B. auch angebliche Rechnungen und falsche Todesmeldungen verbreitet, die die Empfänger auf Seiten mit Fake-Virenscannern locken sollen.

Auch kompromittierte harmlose Websites können zum Verbreiten von Scareware missbraucht werden, wie z.B. opengraphprotocol.org oder die US-Download-Seite von Kaspersky.

Viele Anbieter echter Virenscanner bieten auch einen Online-Scanner für den schnellen Test zwischendurch an. Auch die Cyberkriminellen wollen da natürlich nicht zurück stehen und haben ein ähnliches Angebot, nur eben als Fake-Onlinescanner. Auch der "findet" natürlich Schädlinge und bietet ein kostenpflichtiges Programm zu deren Entfernung an.

Verbesserte Tarnung

Um die Fake-Virenscanner noch echter erscheinen zu lassen, bieten die Cyberkriminellen teilweise sogar einen echten Live-Support an. Und den sogar rund um die Uhr, etwas, was nicht mal alle Anbieter echter Virenscanner schaffen. Außer über Chat ist der Support auch per Telefon und E-Mails (die sogar in der jeweiligen Landessprache geschrieben werden können) erreichbar.

Es gibt auch Fake-Virenscanner, die zumindest einige echte Schädlinge erkennen. Dazu enthält der Fake-Scanner z.B. eine (i.A. veraltete) Kopie des Open-Source-Scanners ClamAV, was den Fake-Scanner aber noch lange nicht zu einem echten Scanner macht.

Böse Marketing-Fehler

David Harley von ESET hat sich vor einiger Zeit Gedanken über "Scareware and Legitimate Marketing" gemacht und gefragt, ob nicht Antiviren-Hersteller durch ungeschickte Werbung den Cyberkriminellen mit ihren Fake-Virenscannern in die Hände spielen. Insbesondere CheckPoint hat sich in diesem Zusammenhang negativ hervorgetan: ZoneAlarm warnte vor einem nicht vorhandenen Schädling und empfahl den Kauf der Internet Security Suite mit integriertem Virenscanner. Die angeblich gut gemeinte Warnung war so ungeschickt formuliert, dass sie viele Benutzer verunsicherte und in Schrecken versetzte - genau wie Scareware.

Scareware entfernen

Die im Browser eingeblendeten Warnungen wird man ganz einfach los: Einfach die Seite verlassen, und das Problem ist erledigt. Wurde ein Fake-Virenscanner installiert oder hat er sich über eine Drive-by-Infektion selbst im System eingenistet, wird die Entfernung schwieriger.

Die harmlosen Varianten von Scareware kann man problemlos manuell entfernen, teilweise bringen sie sogar eine Uninstall-Funktion mit. Zum manuellen Entfernen reicht es meist aus, die Programme zu beenden und die Dateien sowie die zugehörigen Registry-Einträge zu löschen. Welche Prozesse zum Fake-Virenscanner gehören, verraten der Windows Task Manager oder der Process Explorer. Die zugehörigen Registry-Einträge verrät Autoruns, mit dem sie auch deaktiviert werden können.

Hartnäckigere Exemplare lassen sich mit den entsprechenden Tools der echten Antiviren-Produkte beseitigen, so wird z.B. Microsofts Malicious Software Removal Tool regelmäßig an neue Schädlinge angepasst.

Infektionen verhindern

Der beste Schutz vor einer Infektion mit den sich über Warnungen einschleichenden Varianten besteht in deren Ignorieren: Plötzlich auftauchende Warnungen vor einer Infektion des Rechners, die weder vom eigenen Virenscanner noch von einem extra aufgesuchten seriösen Online-Scanner stammen, sind immer verdächtig. Erst recht, wenn sie zum Kauf eines Programms auffordern. Virenscanner (und generell auch alle andere Software) sollte man nur aus seriösen Quellen beschaffen. Zwar wäre es am sichersten, nur Virenscanner der bekannten Hersteller zu verwenden - aber wie sollten dann neu, seriöse Scanner eine Chance bekommen? Eine (allerdings nicht vollständige) Liste seriöser Scanner gibt es indirekt z.B. bei VirusTotal. Die Website ist zwar eigentlich zur Untersuchung verdächtiger Dateien gedacht, die Liste verwendeter Scanner liefert aber auch einen Überblick über richtige Scanner, dann Fake-Versionen sind darauf nicht enthalten.

Vor Drive-by-Infektionen schützen bis zu einem gewissen Grad entsprechende Schutzprogramme sowie die Verwendung aktueller Versionen von Webbrowser und Plugins. Beides hilft aber nicht, wenn ein bisher unbekannter Schädling eine 0-Day-Schwachstelle ausnutzt, die von der Verhaltensanalyse des Schutzprogramms nicht erkannt wird.

Erpresserische Scareware

Ein Beispiel für Scareware, die nicht als Fake-Virenscanner daher kommt, ist ein angeblicher Antipiraterie-Scanner, der ebenso angebliche Urheberrechtsverletzungen entdeckt haben will. Um einer Strafverfolgung zu entgehen, soll das Opfer im Rahmen einer außergerichtlichen Einigung Geld zahlen. Diese Scareware gehört in gewisser Weise schon zur Lösegeld erpressenden Ransomware, um die es in der nächsten Folge geht.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : LizaMoon - Massenhack mit minimalen Folgen

"LizaMoon - Massenhack mit minimalen Folgen" vollständig lesen
Aus aktuellem Anlass geht es diese Woche nicht wie angekündigt um Rootkits, sondern um SQL-Massenhacks, Drive-by-Infektionen und Scareware, oder kurz: "LizaMoon". Alle Jahre wieder... SQL-Injection-Massenangriffe auf ASP-Seiten

Dipl.-Inform. Carsten Eilers am : Kritische Schwachstellen, Schadsoftware - und Apple steckt den Kopf in den Sand

"Kritische Schwachstellen, Schadsoftware - und Apple steckt den Kopf in den Sand" vollständig lesen
Was ich im Oktober 2010 befürchtet hatte, ist eingetreten: Apples App Store verzögert die Veröffentlichung von sicherheitsrelevanten Updates. Da Apple außerdem auch noch auf den Standpunkt steht, Malware auf den Rechnern der

Dipl.-Inform. Carsten Eilers am : Googles Kampf gegen Cyberkriminelle - Googliath gegen viele Davids?

"Googles Kampf gegen Cyberkriminelle - Googliath gegen viele Davids?" vollständig lesen
Google warnt seit neuesten die Benutzer von mit bestimmter Schadsoftware infizierten Rechnern. Das ist nicht Googles erste Aktion gegen Cyberkriminelle, und es wird sehr wahrscheinlich auch nicht die letzte sein. Aber hat der Goliath Google gegen d

Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...

"Kommentare zu diesem und jenem..." vollständig lesen
Wie angekündigt ändert der "Standpunkt" sein Format bzw. wird durch ein anderes Format ersetzt - dies ist die erste offizielle Folge dieser neuen Serie "Kommentierter Links". Die Themen: Ein plötzlich kritischer Patch, beratungsre

Dipl.-Inform. Carsten Eilers am : Lilupophilupop - Eine SQL-Injection-Welle ist unterwegs

"Lilupophilupop - Eine SQL-Injection-Welle ist unterwegs" vollständig lesen
SQL-Injection-Angriffe auf ASP-Websites gibt es eigentlich ständig, meist ohne dass sie besondere Aufmerksamkeit erregen. Von Zeit zu Zeit gibt es auch größere Wellen, wie z.B. LizaMoon im Frühjahr 2011. Auch im Herbst 2011

Dipl.-Inform. Carsten Eilers am : Warum man Schadcode nie ungefragt durch harmlosen Code ersetzen sollte

"Warum man Schadcode nie ungefragt durch harmlosen Code ersetzen sollte" vollständig lesen
Wie angekündigt geht es heute um die Frage, wieso es eine schlechte Idee ist, nach der Übernahme eines Botnets den Schadcode auf den einzelnen Bots durch harmlosen Code zu ersetzen. Mal abgesehen davon, dass so eine Manipulation fremder

Dipl.-Inform. Carsten Eilers am : Flame? - Kein Grund zur Panik!

"Flame? - Kein Grund zur Panik!" vollständig lesen
Der neue Schädling "Flame" sorgt für Panik in den Medien, dabei besteht dafür eigentlich keinerlei Grund. Warum, erfahren Sie hier. Was ist an Flame so besonders? Flame ist... Im folgenden werde ich mich nach den "Questions an

Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen über präparierte Werbung

"Drive-by-Infektionen über präparierte Werbung" vollständig lesen
Eigentlich wollte ich ab dieser Folge Aktualisierungen der älteren Grundlagen-Texte veröffentlichen, angefangen mit Clickjacking-Angriffen. Aus aktuellen Anlass geht es aber mit einem "Update" zu den Texten über Drive-by-Infektionen

Dipl.-Inform. Carsten Eilers am : Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones

"Neues eBook: Android Security - Von Fake-Apps, Trojanern und Spy Phones" vollständig lesen
Bei entwickler.press ist mein E-Book über die Sicherheit von Android erschienen: "Android Security - Von Fake-Apps, Trojanern und Spy Phones". Es gibt einen Überblick über die aktuelle Sicherheitslage von Android: W

entwickler.de am : PingBack

"PingBack" vollständig lesen

Dipl.-Inform. Carsten Eilers am : Neues zu Schad- und Antivirus-Software. Mehr Schlechtes als Gutes

"Neues zu Schad- und Antivirus-Software. Mehr Schlechtes als Gutes" vollständig lesen
Es gibt mal wieder Neuigkeiten zu Schadsoftware und Virenscannern. Sowohl Pro als auch Contra, wenn auch die negativen Meldungen überwiegen. Mehr Negatives als Positives... (+) Es wurde mal wieder ein Ad-Network kompromittiert, um &uu

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!