Malware: Unerwünschte Browser-Hijacker als SW-Beifang

Ich habe das Thema ja bereits länger für das Wochenende auf dem Radar: Adware, Browser-Hijacker, Add-Ons und ähnliche Malware, die als Beifang mit Software auf den Rechner kommen und dann den Benutzer irritieren bis extrem nerven. Hier mal ein paar Infos zum Thema in einem 'kleinen' Blog-Beitrag zusammen getragen.


Anzeige

Das Problem in dürren Worten

Dem Anwender wird eine Gratis-Software angeboten, die im Beifang noch irgend etwas anderes installiert. Da kommt mit dem Adobe Flash Player schon mal ein Chrome-Browser oder Mc Afee-Virenscanner mit (siehe folgende Screenshots).

Auch Oracles Java bringt schon mal den Mc Afee als Beifang mit. Hier habe ich gerade gesehen, dass Avira die Ask-Toolbar mit installieren will. Generell scheinen die Anbieter von Gratis AntiVirus-Software gerne solche Browser-Toolbars mit in den Paketen auszurollen (besonders fies, wenn diese Beigaben dann Malware auf's System schleust, die nicht durch die gratis Antivirus-Lösung abgedeckt wird).

Als Anwender muss ich höllisch aufpassen, dass ich mir das Kleingedruckte durchlesen und alles abwähle, was nicht gewollt ist. Hier ein paar Blog-Beiträge zum Thema:

Neues Flash-Update bereitgestellt
Obacht bei Sourceforge-Downloads

Beim Sourceforge-Thema hat MVP-Kollege Martin Geuß das schön im Beitrag SourceForge: Von der Open Source Basis zur Spamschleuder? dargestellt. Die folgenden beiden Screenshots sind aus Martins Artikel.


(Quelle: Dr. Windows)


Anzeige

(Quelle: Dr. Windows)

Der Hintergrund – die Entwickler der Software brauchen Geld und finanzieren das Projekt mit solcher Huckepack-Software. Das ist sogar nachvollziehbar, auch hier im Blog schalte ich Werbeanzeigen, um ein paar Cents einzunehmen. Aber da sind Filter gesetzt, die bestimmte Themen, Anbieter oder Werbenetzwerke, die mir negativ aufgefallen sind, aussperren. Und es wird nichts installiert.

Bei Adware, die mit Software ungewollt auf dem System landet, ist das etwas anderes. Ein ungewollt installierter Mc Afee oder Google Chrome Browser ist nur ärgerlich. Kriminell wird es bei Adware-Addons als Beifang, die sich als Browser-Toolbars einnisten und dann dem Nutzer Werbung im Browser anzeigen. Täglich schlagen die Hilferufe von Anwendern hier ein, die sich beschweren, dass sich mit diesem Internet Explorer, dieses Firefox und was weiß ich nicht mehr arbeiten ließe. Hier mal zwei Artikel aus meinem Blog zum Thema:

Optimizer Pro und Omiga-Plus entfernen
Google-Suche wird im Browser umgeleitet

Eines der Goodie ist ein nutzloser Optimizer, das andere ein Browser-Hijacker. Solange es als Option abwählbar ist, kann man noch diskutieren und möglicherweise behaupten "der Anwender ist schuld, soll er doch die Augen offen halten und nicht auf alles klicken, was bei 3 nicht vom Schirm verschwunden ist". Aber es gibt Indizien, dass die Abwahl solcher Abzock AdWare nicht mehr möglich ist und die Installation heimlich erfolgt.


Werbung – meine Windows 8.1 Titel –

Auf unbedarfte Nutzer setzen …

Und es gibt natürlich die Webseiten, die auf das "Fangen unbedarfter" Benutzer ausgerichtet sind. Kleines Beispiel, auf das ich hier gestoßen bin: Normalerweise würde ich bei der freien Bürosoftware immer nach LibreOffice suchen und dann die offizielle Webseite des Projekts zum Download verwenden (oder auf portable Varianten zurückgreifen). Der normale Anwender, der nix mit diesem "Windows Office" am Hut hat, weiß aus ComputerBild, dass es OpenOffice gibt. Eine Suche in Google.de nach "OpenOffice" liefert als ersten Treffer, die als Anzeige gekennzeichnete URL openoffice.pro.de.

OpenOffice Fake-Treffer bei Suche

Ist erst einmal nichts gegen zu sagen. Aber der Anwender ist in der Masse ein eigenwilliges Wesen – ich erinnere an meinen Artikel Facebook Wants to Be Your One True Login, der den Punkt trifft. Klickt ein unbedarfter Anwender auf diesen Treffer, erscheint die nachfolgende Webseite mit dem OpenOffice-Angebot.

OpenOffice

Sieht auch gut aus. Was ist falsch? Ich habe mal das Kleingedruckte unter dem Button "Jetzt kostenlos downloaden" in normalem Schriftgrad herausgezogen (siehe auch die Anmerkung hier):

Mit Klick auf "Download" akzeptieren Sie die EULA, Nutzungsbedingungen und Datenschutzrichtlinien von Pro.de. Die Software wird zu werbezwecken angeboten und kostenlose Zusatzprodukte können an den entsprechenden Stellen hinzu- oder abgewählt werden. Erfahren Sie hier mehr den Produkten und zur Deinstallation.

Der Anbieter lässt sich juristisch die Geschäftsbedingungen abnicken. Netterweise wird sogar über einen Link aufgelistet, was man sich so auf's System holt und wie man das weg bekommt. So weit ist das ok, Ross und Reiter werden genannt. Wer sich aber mal die kleine Schrift, in dem der obige Text gestaltet ist, anschaut (in meinem Browser kann ich den Text nicht lesen), kann sich seine eigene Meinung bilden, ob die Sache nicht ein Geschmäckle hat. Man sollte wohl auch diesen Artikel kennen, wo sich u.a. folgendes Zitat findet:

"Wir verdienen gutes Geld mit Werbung in und während des Download- und Installationsprozesses fremder Softwareprodukte."

Zurück zur Google-Suchseite mit den Treffern. Erst eine Zeile darunter folgt bei Google in der Trefferliste der offizielle Link www.openoffice.org/de/. Die Webseite sieht so aus:

Und mal ganz ehrlich, wenn ich mir die beiden Webseiten so ansehe, empfände ich auf den ersten Blick das openoffice.pro.de Angebot als das 'seriösere'. Das LibreOffice-Angebot erscheint mir wie die Link-Farmen, die auf verwaisten Domains abgelegt werden – oder die als Ad-Farm mit vielen Begriffen gespickt sind, um Klicks zu provozieren.

Profis lächeln vielleicht darüber – aber Hand auf's Herz: die paar Cracks sind nix gegen das Herr unbedarfter Anwender, die die Zielgruppe für "Malvertising" darstellt.

Cisco-Bericht zu "Bad Browser-Plug-Ins als Malvertising, Malware & Co."

Cisco ist über Telemetriedaten vor einem Jahr ein Trend aufgefallen: Es verbreiten sich schädliche Browser Plug-Ins, die nach der Installation beim Abrufen von Webseiten ungewollte Werbung einblenden. Aus der folgenden, bei Cisco gezeigten Webseite:

(Original-Webseite; Quelle: Cisco)

wird dann eine mit Werbung angereicherte Webseite, wie folgender Screenshot der gleichen Seite demonstriert.

(geänderte Webseite; Quelle: Cisco)

Dabei kommt ein trickreiches Codegeflecht im Browser-Add-On zum Einsatz, um die Werbung, abhängig von den besuchten Webseiten einzublenden.

(Quelle: Cisco)

Die Kommunikation der Malware-Add-ons wird dabei Base64-codiert verschleiert. Der Cisco-Bericht führt verschiedene Beispiele an. So werden an Hand häufig benutzter Suchwörter auch schon mal automatisch Domains registriert.

Noch schlimmer: Es wird Malware nachgeladen und es werden Nutzerdaten gesammelt und übertragen. Kritsch werden übertragene Benutzerdaten, wenn aus Firmen Benutzernamen und E-Mail-Adressen darin auftauchen. Insgesamt handelt es sich um eine Familie von über 4.000 Add-ons, die unter verschiedenen Namen daherkommen und in irgendwelcher Software oder in Bibliotheken stecken. Cisco hat die folgende Liste im Artikel als Ausschnitt publiziert.

(Quelle: Cisco)

Heise.de erwähnt in diesen lesenswerten Artikel zum Thema explizit die MediaBuzz-Erweiterung (Browsererweiterung), die in einem Installer von Nullsoft zu finden war. Hier findet sich ein Artikel zum Entfernen von MediaBuzz (wobei man nur die Anleitung, nicht das Tool zur Überprüfung verwenden sollte).  Dabei geht die Adware trickreich vor und überprüft, ob der Browser in einer virtualisierten Umgebung läuft oder nicht und aktiviert sich bei Bedarf.

Google Chromes White-List – Firefox will nachbessern …

Benutzer von Google Chrome erhalten bei der Installation solcher Add-on eine Warnung, wenn die Erweiterung nicht in einer Whitelist enthalten ist. Beim Firefox wird das Browser-Plug-in momentan dagegen noch klaglos installiert. Allerdings will Mozilla den Mechanismus demnächst dahingehend ändern, dass nur noch signierte Extensions installiert werden können.

Der 'Weiße Ritter' Cisco

Cisco schreibt, dass die Identifizierung und Blockierung von Adware, Malware und Datentracking-Software einen Multi-Geräte-Sicherheitsansatz erfordere. Die eigenen Produkte wie Advanced Malware Protection (AWS), Cisco Cloud Web Security (CWS) und Cisco Web Security Appliance (WSA) können passenderweise solche Malware erkennen.

Hilfe, ich hab mir was gefangen …

Anwender, die betroffen sind, können eigentlich nur im Web recherchieren, wie sich die Adware/Malware entfernen lässt. Häufig kann man mit durch gezieltes Vorgehen den Beifang los werden. Hier beschreibt Christian Krause im heise.de-Forum seine Vorgehensweise. Vielfach kommt man auch mit dem Tool AdwCleaner weiter, den es auf der offiziellen Webseite zum kostenlosen Download gibt. Eine Beschreibung findet sich z.B. hier bei heise.de.

Damit möchte ich den doch etwas länger gewordenen Beitrag für heute abschließen. Die Tage gibt es weitere Beiträge zum Thema. Abschließend die Frage: Wie sind eure Erfahrungen? Seit ihr schon mal betroffen gewesen? Wie habt ihr das Zeugs entfernt? Ergänzungen, Erfahrungen, Anleitungen sind als Kommentare willkommen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit, Virenschutz abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Malware: Unerwünschte Browser-Hijacker als SW-Beifang

  1. Rainer Friedrich sagt:

    schon etliche Rechner geputzt meist mit AdwCleaner. Toller Artikel!

  2. Julia sagt:

    Vorsicht! Seit einigen Tagen ist ein gefälschter AdwCleaner im Umlauf. Einige gesammelte Infos + Links dazu im englischsprachigen Microsoft Community Forum.

  3. Wolfgang sagt:

    Auf den Nerv getroffen, Dein Bericht, Günter. So ab und an verlinke ich
    dich zu unserer Gruppe, wenn es was interessantes gibt. Ich hoffe, du
    hast nichts dagegen.
    http://bit.ly/1KWHayu

    @Julia, sehr richtig, hatte es auch gelesen. Grundsätzlich gilt, wie wir
    alle wissen sollten, immer vom Hersteller laden.
    http://bit.ly/1vtTBg7

  4. Pingback: Anonymous

  5. Pingback: #Adware: Wenn der Browser nur noch Werbung zeigt… | Günnis Seniorentreff 50+

  6. Pingback: Superfish-Adware: Was steckt dahinter? Bin ich betroffen? | Günnis Seniorentreff 50+

Schreibe einen Kommentar zu Rainer Friedrich Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.