Scharlatane und Hochstapler
Zweifelhafte Antiviren-Produkte
Daniel Bachfeld - 25.10.2008
Mit gefälschten Meldungen über Infektionen des PCs erschrecken Betrüger arglose Anwender und versuchen, sie so zum Kauf dubioser Antiviren-Produkte ohne Funktion zu bewegen. Nicht selten kommt im Gefolge eines solchen Programms noch ein Trojaner. heise Security zeigt, wie man solche Angriffe erkennt und abwehrt.
Die zweifelhaften Produkte kommen meist in prächtigen Gewändern und haben klangvolle Namen wie AntiMalware Guard, AntiSpyware XP 2008, WinDefender 2008, Total Secure 2009, WinAntivirus 2008 und XP Antispyware 2009. Die Nähe zu den Namen bereits etablierter Schutzprogramme soll die Opfer überzeugen, es handele sich um reguläre Produkte.
Die Verbreitung erfolgt über spezielle Seiten, die dem Anwender typischerweise einen Virenscan der Festplatte vorgaukeln, der dramatische Funde ergibt. Dabei ist die Oberfläche des vermeintlichen Scanners im Browser der Windows-Oberfläche so gut nachempfunden, dass unbedarfte Anwender selten Verdacht schöpfen, dass es nicht mit rechten Dingen zugehen könnte. So lügt etwa der vorgetäuschte Scan von AntiSpyware Expert dem Anwender vor, dass sein Windows-PC mit diversen Schädlingen – darunter Sobig, Sdbot und Mimail – infiziert sei, obwohl das System vollkommen sauber ist. Selbst wenn man die Seiten mit einem Linux-Rechner ansurft, erhält man die gleichen Meldungen.
Zur Abhilfe empfehlen die Seiten dann einen kostenlosen Virenscanner – und bieten diesen auch gleich zum Download an. Nach der Installation soll man zur Freischaltung freilich eine Lizenz erwerben. Andernfalls macht die Software regelmäßig mit nervenden Warndialogen darauf aufmerksam, dass der Rechner infiziert sei. Da sich die Software oft auch nicht auf normalem Wege über die Systemsteuerung deinstallieren lässt, geben einige Anwender schließlich nach und bezahlen den Kaufpreis für das aggressiv werbende Produkt.
AntiSpyware Express gaukelt dem Anwender vor, der PC wäre mit zahlreichen Viren infiziert.
Die immer häufigeren Leseranfragen an c't und heise Security belegen, dass immer wieder Anwender auf solche Täuschungen hereinfallen. Der Antiviren-Hersteller Panda bestätigt, dass die Zahl dieser als Scare-Ware bezeichneten Betrugsprogramme derzeit rasant zunimmt und bereits einen beträchtlichen Teil der täglich neu erstellten Signaturen ausmache. Der deutsche Hersteller G Data verzeichnet ebenfalls einen enormen Anstieg der Schreck-Ware ohne echte Schutzfunktion in den letzten Wochen und Monaten. Das sei ein eindeutiger Beleg, dass es sich für die Täter um ein lukratives Geschäft handle. Während man im September 2007 knapp 30 neue Signaturen für dubiose Programme erstellte, waren es im September 2008 fast 2100 – also rund siebzig Mal mehr. Aufgrund der zunehmenden Attacken hat kürzlich Microsoft in den USA sogar eine Klage gegen Hersteller gefälschter Antivirenprodukte angestrengt [1]..
Trojaner inklusive
Längst nicht alle dieser dubiosen Antiviren-Programme sind harmlos. Nicht selten sperrt das Programm nach der Installation etwa die Webseiten von seriösen Anbietern von Antivirenprodukten. Immer öfter schleicht sich Schreck-Ware auch über Sicherheitslücken im Browser per Drive-by-Download in den Rechner und nervt den Anwender anschließend mit Meldungen über den angeblich schlechten Sicherheitsstatus des Systems.
Und war bislang das Geschäftsmodell zumeist nur der gewinnbringende Verkauf der wertlosen Software, infizieren solche Programme immer öfter den PC mit echten Schädlingen, um ihn in einen Bot zu verwandeln und anschließend darüber Spam zu versenden. Typische Vertreter dieser Schädlinge sind die Mitglieder der Familie "Trojan-Downloader.FraudLoad", bei denen die AV-Hersteller bereits Signaturen mit vierstelligem Suffix (.vcca und so weiter) vergeben. Es ist auch nicht auszuschließen, dass die Betrüger es auch auf die Kreditkartendaten beim Online-Kauf abgesehen haben.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
