Mit gefälschten Meldungen über Infektionen des PCs erschrecken Betrüger arglose Anwender und versuchen, sie so zum Kauf dubioser Antiviren-Produkte ohne Funktion zu bewegen. Nicht selten kommt im Gefolge eines solchen Programms noch ein Trojaner.
Die zweifelhaften Produkte kommen meist in prächtigen Gewändern und haben klangvolle Namen wie AntiMalware Guard, AntiSpyware XP 2008, WinDefender 2008, Total Secure 2009, WinAntivirus 2008 und XP Antispyware 2009. Die Nähe zu den Namen bereits etablierter Schutzprogramme soll die Opfer überzeugen, es handele sich um reguläre Produkte.
Die Verbreitung erfolgt über spezielle Seiten, die dem Anwender typischerweise einen Virenscan der Festplatte vorgaukeln, der dramatische Funde ergibt. Dabei ist die Oberfläche des vermeintlichen Scanners im Browser der Windows-Oberfläche so gut nachempfunden, dass unbedarfte Anwender selten Verdacht schöpfen, dass es nicht mit rechten Dingen zugehen könnte. So lügt etwa der vorgetäuschte Scan von AntiSpyware Expert dem Anwender vor, dass sein Windows-PC mit diversen Schädlingen – darunter Sobig, Sdbot und Mimail – infiziert sei, obwohl das System vollkommen sauber ist. Selbst wenn man die Seiten mit einem Linux-Rechner ansurft, erhält man die gleichen Meldungen.
Zweifelhafte Antiviren-Produkte (27 Bilder)
Zur Abhilfe empfehlen die Seiten dann einen kostenlosen Virenscanner – und bieten diesen auch gleich zum Download an. Nach der Installation soll man zur Freischaltung freilich eine Lizenz erwerben. Andernfalls macht die Software regelmäßig mit nervenden Warndialogen darauf aufmerksam, dass der Rechner infiziert sei. Da sich die Software oft auch nicht auf normalem Wege über die Systemsteuerung deinstallieren lässt, geben einige Anwender schließlich nach und bezahlen den Kaufpreis für das aggressiv werbende Produkt.
Die immer häufigeren Leseranfragen an c't und heise Security belegen, dass immer wieder Anwender auf solche Täuschungen hereinfallen. Der Antiviren-Hersteller Panda bestätigt, dass die Zahl dieser als Scare-Ware bezeichneten Betrugsprogramme derzeit rasant zunimmt und bereits einen beträchtlichen Teil der täglich neu erstellten Signaturen ausmache. Der deutsche Hersteller G Data verzeichnet ebenfalls einen enormen Anstieg der Schreck-Ware ohne echte Schutzfunktion in den letzten Wochen und Monaten. Das sei ein eindeutiger Beleg, dass es sich für die Täter um ein lukratives Geschäft handle. Während man im September 2007 knapp 30 neue Signaturen für dubiose Programme erstellte, waren es im September 2008 fast 2100 – also rund siebzig Mal mehr. Aufgrund der zunehmenden Attacken hat kürzlich Microsoft in den USA sogar eine Klage gegen Hersteller gefälschter Antivirenprodukte angestrengt [1]..
Trojaner inklusive
Längst nicht alle dieser dubiosen Antiviren-Programme sind harmlos. Nicht selten sperrt das Programm nach der Installation etwa die Webseiten von seriösen Anbietern von Antivirenprodukten. Immer öfter schleicht sich Schreck-Ware auch über Sicherheitslücken im Browser per Drive-by-Download in den Rechner und nervt den Anwender anschließend mit Meldungen über den angeblich schlechten Sicherheitsstatus des Systems.
Und war bislang das Geschäftsmodell zumeist nur der gewinnbringende Verkauf der wertlosen Software, infizieren solche Programme immer öfter den PC mit echten Schädlingen, um ihn in einen Bot zu verwandeln und anschließend darüber Spam zu versenden. Typische Vertreter dieser Schädlinge sind die Mitglieder der Familie "Trojan-Downloader.FraudLoad", bei denen die AV-Hersteller bereits Signaturen mit vierstelligem Suffix (.vcca und so weiter) vergeben. Es ist auch nicht auszuschließen, dass die Betrüger es auch auf die Kreditkartendaten beim Online-Kauf abgesehen haben.