Windows Defender findet und entfernt Superfish

Microsoft hat ein Update für den Windows Defender herausgegeben, so dass dieser unter Windows die Adware Superfish aufspüren und entfernen kann. Klasse Aktion? Im Artikel erfahrt ihr auch, warum ich mich mit dem Applaus irgendwie etwas schwer tue und das Update früher gewünscht hätte.


Anzeige

Das Problem auf den Nenner gebracht

Donnerstag hatte ich im Beitrag Lenovo Geräte mit Superfish-Adware verseucht über eine Adware Superfish auf Lenovo-Geräten berichtet. Die Adware konnte Werbung bzw. Kaufvorschläge beim Surfen im Web einblenden. Was sich als ernste Sauerei von Lenovo herausstellte, wuchs sich zur veritablen Sicherheitslücke aus. Die Adware installierte ihr eigenes SSL-Root-Zertifikat und konnte so jegliche HTTPS-Verbindungen überwachen.

Aber es geht noch weiter. Die zugrundeliegende Komponente stammt von Komodia, einer Firma, die ein SSL Hjacker SDK entwickelt und in verschiedenen Produkten vertrieben haben. Im Beitrag Komodia SSL-Zertifikate faktisch überall – Teil V habe ich die Zusammenhänge dokumentiert. Da das Kennwort des Zertifikats zwischenzeitlich bekannt ist, können Dritte eigene Zertifikate vom Komodia-Zertifikat ableiten und zum Ausspionieren der Browsersitzungen verwenden. heise.de weist in diesem Artikel auf den Sachverhalt hin.

Microsoft ertüchtigt den Defender zum Superfish-Jäger

Jetzt hat Microsoft reagiert und den Windows Defender so aktualisiert, dass er die Superfish-Adware erkennt und beseitigen kann. Das berichtet zumindest Neowin.net in diesem Artikel und zeigt einen Screenshot mit den Entfernungsanweisungen. Update: MVP-Kollege Ed Bott hat hier bei ZDNet.com noch einen weitergehenden Artikel publiziert.

Der Defender kann nicht nur die Superfish-Komponenten von Visual Discovery finden und entfernen. Es werden auch die Root-Zertifikate überprüft und gegebenenfalls auf den Auslieferungszustand zurückgesetzt. Damit ist das Komodia SSL-Zertifikat schachmatt gesetzt.

Zu beachten ist aber, dass der Firefox-Browser seine eigene Zertifikate mitbringt, die Bereinigung dort also nicht wirkt.

Applaus – oder hätte das nicht früher erfolgen können/sollen?

An dieser Stelle müsste man jetzt laut applaudieren – und das Web feiert. Microsoft, der weiße Ritter für Lenovo, die mit “heruntergelassenen Hosen erwischt wurden” und nun mit Recht Prügel beziehen. Allerdings tue ich mich mit dem Applaus für Microsofts Aktion etwas schwer. Warum das?

Möglicherweise liege ich daneben und tue Microsoft Unrecht. Aber ich erinnere an meinen Artikel Superfish Adware auch auf Medion-Systemen? vom 19. Februar 2015. Auf Grund eines Leser-Kommentars habe ich mal die Registrierung durchsucht und bin auf “Spuren des Super-Fischleins” gestoßen. Im Registrierungsschlüssel:


Anzeige

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{74F475FA-6C75-43BD-AAB9-ECDA6184F600}

findet sich ein Aufruf der betreffenden DLL. Hier der betreffende Screenshot des Registrierungseditors.

Nach etwas weiterer Recherche bin ich dann auf den Microsoft KB-Artikel 2520435 mit dem Titel “How to fix the Superfish Window Shopper add-on and Internet Explorer 9 incompatibility” gestoßen.

Nur mal langsam zum Mitschreiben: Es gibt einen MS-KB-Beitrag, der erklärt, wie man Kompatibilitätsprobleme dieser Superfish-Adware im Internet Explorer 9 (durch deaktivieren des Add-on) beheben kann. Der Browser stirbt nämlich wenn auf dem System eine Superfish-Adware werkelt und das Browser-Add-on installieren will. Gut, war ein “quick & dirthy” Ansatz, um Benutzern mit Problemen auf die Schnelle durch den Tipp zum Deaktivieren zu helfen. Aber: Superfish ist da bekannt und Microsoft liefert zudem in allen Windows-Versionen (ab Win 7) gleich einen Registrierungseintrag mit den Kompatibilitätsoptionen mit (der Eintrag findet sich auch in einer Windows 7-Installationsabbilddatei, heruntergeladen von den Microsoft-Servern). Wenn meine Recherchen nicht trügen, deaktiviert der Registrierungseintrag eine Variante des Add-ons. Superfish ist dort also seit mindestens 2011 bekannt – und ich gehe davon aus, dass das Ganze auch mit per Telemetriedaten aufzeichnet wird.

Ich denke, es sollte nachvollziehbar sein, dass mir ob dieses Sachverhalts der Applaus für Microsofts Defender-Update etwas schwer fällt “im Halse stecken bleibt”. Das Defender-Update ist zwar für betroffene Anwender nicht schlecht (Daumen hoch) – aber unter der Haube muss ich es so interpretieren, dass Microsoft den Superfish auf dem Radar hatte. Da Adware ein immer größeres Problem ist, hätte ich eine Reaktion eigentlich viel früher erwartet. Man reitet reagiert also imho nur auf die der aktuelle Entwicklung mit. Aber möglicherweise liege ich mit der Einschätzung daneben und es gab keine Chance für Microsoft, früher zu reagieren. Und wie seht ihr das Ganze?

Update: Bei heise.de gibt es zwischenzeitlich diesen Artikel, der (in neutralerer Form) meine Beobachtungen und Einschätzungen bestätigt. Zudem noch mein Hinweis auf den Kommentar von “Segelboot” weiter unten, der ausführt, dass der Defender nichts macht, wenn Superfish bereits vorher deinstalliert wurde. Sprich: Die Root-Zertifikate bleiben erhalten. Falls das noch von einer zweiten Quelle bestätigt werden kann, würde mich das brennend interessieren.

Nachtrag: Auch Lenovo liefert ein Removal-Tool

Mein MVP-Kollege Damian Dandik von netzwerktotal.de hat es gestern schon angekündigt. Lenovo arbeitete gestern daran, ein Removal-Tool für den Superfish bereitzustellen. Nun ist das Tool wohl freigegeben, Damian hat es bei netzwerktotal.de in diesem Beitrag beschrieben.

Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Komodia SSL-Zertifikate faktisch überall – Teil V


Anzeige


Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Windows Defender findet und entfernt Superfish


  1. Anzeige
  2. Damian sagt:

    Das von Lenovo versprochene “SuperFishRemovalTool” zur Entfernung der Software ist wirklich heute im Laufe des Tages erschienen und kann heruntergeladen werden.

  3. Fischer sagt:

    Du empörst dich darüber, daß es einen KB-Artikel von Microsoft gibt, “der erklärt, wie man Kompatibilitätsprobleme dieser Superfish-Adware im Internet Explorer 9 beheben kann”. Ich gehe mal davon aus, daß du nicht nur die Überschrift des Artikels zur Kenntnis genommen hast, sondern den eigentlichen Artikel auch gelesen hast (er ist sehr kurz). Er besagt, daß IE 9 nicht mit installiertem Superfish-Add-on funktioniert und die Lösung zum Beheben dieser Inkompatibilität darin besteht, Superfish zu deaktivieren: “To resolve this incompatibility, disable the Superfish Window Shopper add-on”. Ich kann darin nichts Verwerfliches sehen. Es ist ja nicht so, daß Microsoft Anweisungen gibt, wie man Superfish unter IE 9 zum Laufen bringen kann, sondern exakt das Gegenteil.

    Ebenso würde ich mich erst dann über einen Registrierungseintrag aufregen, in dem Superfish vorkommt, wenn ich genau weiß, was der Registrierungseintrag eigentlich macht. (BTW – “Microsoft liefert zudem in allen Windows-Versionen gleich einen Registrierungseintrag mit den Kompatibilitätsoptionen mit” – mein Vista mit IE 8 weiß nichts davon.) Ich könnte mir vorstellen, daß die “Kompatibilitätsoptionen” darauf abzielen, die Ausführung von Superfish gerade NICHT zuzulassen. In den “Extension Compatibility”-Schlüsseln gibt es jeweils einen Wert “BlockType”, siehe auch deinen Screenshot; das klingt nicht so, als würde alles durchgewunken, sondern Bestimmtes eben auch blockiert. Was nun der BlockType 2;2 für Superfish genau bewirkt – keine Ahnung. Aber Anstoß an der bloßen Existenz des Registrierungsschlüssels zu nehmen, erscheint mir voreilig. Ich denke z.B. an den verwandten Schlüssel HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility, in dem ja auch und gerade festgelegt wird, welche ActiveX-Steuerelemente NICHT kompatibel sind (“Killbits”).

    Ein weiteres Beispiel: Ich habe in meinem Windows-Zertifikatsspeicher eine Menge dubioser Zertifikate – die kompromittierten DigiNotar-Zertifikate usw. usf. Reg ich mich darüber auf? Nö. Müßte ich schreien: “Skandal! Microsoft verteilt kompromittierte Zertifikate”? Nö. Warum? Die Zertifikate stehen nicht unter “Vertrauenswürdige Herausgeber”, sondern unter “Nicht vertrauenswürdige Zertifikate”. Und das macht den Unterschied.

    • Günter Born sagt:

      @Fischer: Zu deinen Ausführungen …

      ” (BTW – “Microsoft liefert zudem in allen Windows-Versionen gleich einen Registrierungseintrag mit den Kompatibilitätsoptionen mit” – mein Vista mit IE 8 weiß nichts davon.) ”

      Ok, Du hast Recht – unter Win XP dürfte der Eintrag auch fehlen. Einschränkend wäre “alle Windows-Versionen ab Win 7” – Vista ist hier nicht mehr auf dem Radar und läuft hier auch nirgendwo mehr.

      Zum Registry-Eintrag: Es sieht so aus, als ob das Browser-Add-on Superfish in einer Version blockiert wird (indirekte Erklärungen finden sich in meinem oben verlinkten Medion-Artikel). Die KillBit-Option ist hier beschrieben – ich denke aber, dass das was anderes ist. So richtig was rausfinden, konnte ich nicht.

      Wo bei mir das Wundern einsetzt (daher der Kommentar): Die Erweiterung Superfish ist Microsoft offenbar lange bekannt. Ich gehe davon aus, dass die auch Komodia & Co. auf dem Radar hatten. Daher wäre ich von ausgegangen, dass die Defender-Signaturen das mit Superfish längst berücksichtigt haben. Wenn es jetzt aktualisiert wird, ist das legitim – aber ich wundere mich über das “gerade jetzt”. Kann natürlich sein, dass interne Gründe dagegen sprachen, das Browser-Addon früher zu entfernen. Mysteriös oder zu hinterfragen bleibt es aber auf jeden Fall, finde ich.

      @Charles: Du brauchst nichts zu tun – ich schrieb im verlinkten Medion-Artikel, dass der Registrierunseintrag auch bei einer frischen Installation aus einer MSDN-ISO bei Win 7 da ist. Also belässt Du den Eintrag.

      • Fischer sagt:

        Du hast deinen Blog-Eintrag heute abgeändert; jetzt wird verständlicher, was dein Problem mit Microsoft ist. Vor deinen Änderungen lautete der Schluß deines Eintrags in voller Länge:

        “Nur mal langsam zum Mitschreiben: Es gibt einen MS-KB-Beitrag, der erklärt, wie man Kompatibilitätsprobleme dieser Superfish-Adware im Internet Explorer 9 beheben kann. Der Browser stirbt nämlich, wenn auf dem System eine Superfish-Adware werkelt und das Browser-Add-on installieren will. Microsoft liefert zudem in allen Windows-Versionen gleich einen Registrierungseintrag mit den Kompatibilitätsoptionen mit (findet sich auch in einer neuen Installationsabbilddatei von den Microsoft-Servern).
        Ich denke, es sollte nachvollziehbar sein, dass mir ob dieses Sachverhalts der Applaus für Microsofts Defender-Update etwas ‘im Halse stecken bleibt’. Das Update ist zwar für betroffene Anwender nicht schlecht – aber unter der Haube reitet Microsoft imho die PR-Woge. Und wie seht ihr das Ganze?”

        Erst jetzt, nachdem ich meinen Kommentar geschrieben habe – und vermutlich, WEIL ich meinem Kommentar geschrieben habe -, heißt es dort (unter anderem):

        “Wenn meine Recherchen nicht trügen, deaktiviert der Registrierungseintrag eine Variante des Add-ons.”

        Auch dein Update im Medion-Blogeintrag, wo du auf einen MSDN-Artikel zum Thema Extension Blocking verweist, war das letzte Mal, als ich geschaut habe, noch nicht da.

        Du hast mit deinem Blog eine gewisse Multiplikatorwirkung, du gibst mit deinen Büchern Hilfestellung als Autorität, und die Arbeit, die du als MVP in den Community-Foren machst, ist bewundernswert. Genau deswegen hätte ich mir gewünscht, daß du eine Recherche über die Funktion eines Registrierungseintrags vornimmst, BEVOR du wegen der bloßen Existenz des Registrierungseintrags auf Microsoft herumprügelst, und daß du dich nicht nur über den Titel eines KB-Artikels ereiferst, sondern auch den Inhalt des KB-Artikels berücksichtigst.

        So wie du deinen Blogeintrag hier gestern abend veröffentlicht hast, war er (a) ein Schnellschuß und in der Tat überarbeitungsbedürftig, (b) ungerechtfertigtes Bashing – bezeichnend auch deine Änderung der Teilüberschrift “Applaus – oder schlagt das Lumpenpack?” in “Applaus – oder hätte das nicht früher erfolgen können/sollen?” und vor allem (c) Panikmache. Und letzteres ist wegen der besagtenn Multiplikatorwirkung fatal. Den Effekt siehst du beispielsweise in dem Kommentar von Charles dokumentiert. Nun hat Charles sich immerhin aufgerafft, nochmal nachzufragen, aber mit solchen Aktionen verunsicherst du garantiert eine Menge Leute, für die diese Schwelle zu hoch ist. Was die dann aus Panik mit ihren Systemen anstellen, weiß der Himmel. Erinnerst du dich (ist lange her) an den Wirbel um die harmlose Datei JDBGMGR.exe? So kam mir das Ganze vor.

        Zu deiner heute klargestellten Kritik an Microsoft: Man muß berücksichtigen, daß MS eine stark fragmentierte Organisation ist, in der das eine Team nicht weiß, was das andere tut. Das ist eine Erklärung, keine Entschuldigung, und es gehört mit zu den Gründen, warum es so unbefriedigend sein kann, Kunde dieser Firma zu sein. Das IE-Team hat offenbar um 2011 herum festgestellt, daß ein Addon namens Superfish für Abstürze o.ä. des IE 9 verantwortlich ist; aus deren Perspektive handelte es sich um eine Inkompatibilität, diese Inkompatibilität haben sie gefixt, und sie haben sich nicht weiter dafür interessiert, was das Addon tut. Daß sie die ganze Problematik inklusive des installierten Zertifikats erkannt hätten (welches ja das eigentliche Problem ist; Adware an sich ist lästig und unschön, aber je nach Implementierung nicht unbedingt ein ernsthaftes Sicherheitsproblem), hätte man von diesem Team nicht verlangen können. Wenn es das Zertifikat damals überhaupt schon gab. Das Malware-Team hingegen ist erst jetzt durch den ganzen Rummel aufmerksam geworden, das ist in der Tat etwas spät, aber immerhin haben sie halbwegs prompt und offenbar gründlich reagiert.

        PS: Ja, ich weiß, Killbits sind etwas anderes, deswegen hatte ich ja geschrieben “verwandt”. Das war nur ein Beispiel dafür, daß man in der Registry auch Einträge für Software findet – in diesem Fall sogar an einer benachbarten Stelle zu dem kritisierten Schlüssel -, deren Ausführung NICHT erwünscht ist.

        • Günter Born sagt:

          @Fischer: Einen Blog-Beitrag abzuändern – um Sachen klar zu stellen – diese Freiheit nehme ich mir. Und ja, ich lese mir die Kommentare auch durch. Ist ja durchaus so, dass mir auch Fehler unterlaufen – zudem bilde ich mir ein, lernfähig und für Gegenargumente offen zu sein. Ich gestehe, dass ich beim Querlesen des englischen KB-Beitrag nicht recherchiert habe, dass der Kompatibilitätseintrag die Version des Superfish im IE 9 deaktiviert (ich bin von “verhindert lediglich einen Absturz” ausgegangen – daher auch der Nachtrag beim Medion-Artikel).

          Wo ich mich mich nicht hinein drängen lassen möchte, sind zwei Sachen:

          a) dass ich einen Beitrag 10 Mal durchgehe, um alle Fakten von 5 Seiten zu durchleuchten – denn das bedeutet in letzter Konsequenz, dass ich das Bloggen an den Nagel hängen kann. Dass, wie bei einer Redaktion, drei Leute drüber schauen und eine Schlussredaktion nochmals gegen liest, die Chance habe ich nicht.

          b) dass ich das große Vorbild zu sein habe, was jedes Wort auf die Goldwaage legen muss – bei letzterem wäre ich besser Politiker geworden – kann’s auch nicht sein – denn dann kann ich das Bloggen auch an den Nagel hängen. Wenn bis die Schere im Kopf drin ist, sollte man das Bloggen einstellen.

          Bloggen ist immer persönlich gefärbt. Ganz klar, im Beitrag ist Meinung dabei – und manches geht schief – da muss man korrigieren können und dürfen. In Retroperspektive gebe ich zu, dass ich einige Aussagen im Artikel zu hart und teilweise missverständlich formuliert habe. Der Beitrag wurde bereits heute Nacht vor Erstveröffentlichung mehrfach revidiert, leider ist das von dir zitierte Text-Snippet in der Überschrift noch drin geblieben. Also wurde der Sachverhalt heute umformuliert, so dass klarer wird, was mich (immer noch) stört. Ich bin hier One-Man-Show als Blogger – dort stehen ganze Abteilungen, die nichts anderes tun, als Ad- und Malware im Auge zu behalten. Und wenn ich sehe, dass 2011 etwas in Richtung Adware als “Schnellschuss” bei MS dokumentiert wurde, ärgert es mich, wenn erst in 2015, auf Grund der aktuellen Berichterstattung was im Defender nachgezogen wird. Deine Argumente mit Großunternehmen kann ich nachvollziehen – habe selbst in so einer Organisation gearbeitet. Ich habe da auch keine Probleme mit, einen Fehler zuzugeben. Dass da einige Leute offenbar jede Revision im Google Cache nachrecherchieren, da werde ich mit leben müssen.

          Update: Der Defender versagt!

          Nachdem ich nun mich hier für meinen etwas schärferen Blog-Beitrag rechtfertigen musste, bin ich jetzt auf den Trichter gekommen, dass der Windows Defender in einigen Szenarien versagt – und auf die Schnelle zusammen geschustert ist. Details hier. Und jetzt muss ich ein Pfund Kreide fressen, damit mir nicht der Kragen platzt – MVP hin, MVP her.

  4. Anzeige

  5. Charles sagt:

    Hallo Günter
    Da hast du aber was losgetreten. So wie oben im Registeryeintrag sieht es bei mir auch aus ( heisst: da steht auch Superfish)und ich habe ein Toshiba Notebook das 2 Jahre alt ist. Bitte hilf nun Jemandem wie mir,der nur ein durchschnittlicher Nutzer ist : Was soll ich nun tun? Soll ich einfach den Eintrag löschen ? Geht das ?
    Danke für eine Antwort Charles

  6. Pingback: Neuigkeit: Superfisch im Register

  7. Wolfgang B. Strecker sagt:

    Hallo Günter,
    selbst im Windows 10 TP 9926 ist dieser Registrierungseintrag noch vorhanden!?

    Gruß Wolfgang

  8. Damian sagt:

    Zu beachten ist aber auch, dass man zuerst die vorinstallierte Drittanbieter-Antivirenlösung deaktivieren oder deinstallieren muss. Weil jede Antivirensoftware eines Drittanbieters den Defender deaktiviert. Danach ist der Windows Defender sofort zu aktiviert. Daraufhin muss der Defender erst aktualisiert werden, damit man die neuesten Antivirensignatur per Microsft Update herunterlädt, um Superfish von dem System zu entfernen. Anschließend kann der Defender weiter genutzt werden. Oder man muss die Drittanbieter-Antivirenlösung wieder aktivieren bzw. neu installieren. Fakt ist, dass viele vorinstallierte Antivirenlösungen zuerst Superfish in ihre Signaturdatenbanken aufnehmen müssen, weil Superfisch aktuell noch nicht als Schädling erkannt wird.

  9. Anzeige

  10. Segelboot sagt:

    Hiweis: Ich hab die Crapware vor ein paar Monaten im Zuge der Einrichtung meines Laptops (14-2) (un)bewusst entfernt. Dummerweise entfernt der Deinstaller NICHT das Zertifikat aus dem Speicher. Die Software war weg, der Defender hat gestern beim Vollscan nix gefunden, und ich hab das Zertifikat von Hand killen müssen.

    Vermutlich wird dieser Fall 10.000de Menschen betreffen, da jeder nach dem ersten Booten die Adware entfernt. Wer denkt da schon an Zertifikate? Besser wäre, wenn das Zertifikat die “Virensignatur” wäre und die Entfern-Routine des Defenders auslöst, und nicht das Programm selbst. So werden auch in Zukunft noch tausende Rechner mit Superfish, Inc Zertifikat durchs Netz schwirren. Ahnungslos und Angreifbar.

    Die Alternative wäre, wenn MS ein Killerupdate ausgibt, dass alle Komodia-Zertifikate löscht, sofern vorhanden. Schließlich ist nicht die Software, sondern das Zertifikat das Problem.

    Gruß vom Segelboot

  11. Pingback: #Superfish: Windows #Defender fails to clean properly | Born's Tech and Windows World

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.