Wie Suchmaschinen wie Bing Schadprogramme bescheren

Das Internet ist praktisch, man benötigt ein kleines Programm, bemüht eine Suchmaschine und bekommt wenige Sekunden später einen Downloadlink angeboten. Doch nicht selten führt dieser Link gar nicht zum gewünschten Programm sondern zu einem Downloader. Was dieser tut, erklären wir hier exemplarisch am Beispiel des Adobe Readers.

Eigentlich wollte ich nur ein PDF aufmachen.

Nicht selten kommen Kunden zu mir deren PCs bis zur erschöpfung verlangsamt sind, "Hinweisfenster" auf unverständliche Probleme hindeuten und das Surfen im Internet mit Werbung noch schlimmer zugepflastert ist als ohnehin schon. Dabei sind die meisten Leute zu recht schon sehr vorsichtig im Internet unterwegs, und doch kann ein zu flotter Klick an unerwarteter Stelle Spätfolgen haben. Einer der besonders unerwarteten Orte im Netz ist die Suchmaschine Bing von Microsoft. Nehmen wir an Sie suchen nach einem Produkt wie dem Adobe Reader, einem bekannten Tool zur Anzeige von PDF-Dateien. Dann erwartet Sie möglicherweise in Suchergebnis wie dieses:

Dieses Element verwendet noch das alte Contao 2 SRC-Format. Haben Sie die Datenbank aktualisiert?

Ganz oben auf der Ergebnisliste sehen Sie den Eintrag:

Adobe Reader Download - Die Nr 1 unter den PDF-Readern
Anzeige - adobe-reader.pro.de

Das hellgraue "Anzeige" deutet darauf hin das wir es hier mit einem bezahlten Link zu run haben. Der Text dahinter sagt uns bei genauem Betrachten das dieser Link nicht zur Herstellerseite des Programms führt, denn dieser kommt in der Ergebnisliste erst an dritter Stelle. Warum sollte jemand Werbung für das freie Produkt einer anderen Firma schalten und bezahlen? Klingt nach keinem einträglichen Geschäftmodell. Ergebnis Nummer Zwei ist übrigens genau so fragwürdig.

Sagen wir Sie wären in Eile und klicken auf diesen ersten Link ohne ihn genauer betrachtet zu haben, das passiert vielen Leuten. Das der Link in diesem Versuch auf die Seiten von pro.de führt, ist nur Exemplarisch. Es ist durchaus möglich das Sie beim Selbstversuch auf gänzlich andere Webseiten treffen. Das Ihnen bei Bing ein derartiger Werbelink unterkommt ist hingegen extrem hoch, da Bing im gegensatz zu Google keinerlei Qualitätssicherung beim Schalten von Werbung betreibt. Beim suchen mit Bing gilt erhöhte Vorsicht, selbst wenn der Eintrag in der normalen Ergebnisliste steht.

Dieses Element verwendet noch das alte Contao 2 SRC-Format. Haben Sie die Datenbank aktualisiert?

 

Wir finden eine Seite mit einem Prominenten Download-Button und hellgrauem Text vor. Sie sieht seriös aus, und offenbar hat man sich die Mühe gemacht eine komplette Seite für ein Fremdprodukt anzulegen und zeigt nicht mal eigene Werbung an.

Download-Manager

Das Geheimis findet sich im grauen Text, mit dem Teilsätzen: "Der Download wird durch einen Download-Manager durchgeführt" sowie "Während des Installationsprozesses wird zu werbezwecken kostenlose Zusatzsoftware angeboten".

Wieso Download-Manager, herunterladen kann mein Browser doch ganz alleine, und Zusatzsoftware klingt doch sehr unspezifisch. Mit diesem Text ist der Betreiber dieses "Angebots" zwar rechtlich auf der sicheren Seite, besser wird das Geschäftsmodell dadurch aber nicht. Laden wir diese Download-Manager einmal herunter und sehen ihn uns näher an.

 

Dieses Element verwendet noch das alte Contao 2 SRC-Format. Haben Sie die Datenbank aktualisiert?

 

Der Download heißt eher unverfänglich install-adobe-reader.exe was seinerseits keinen Hinweis auf etwas ungewöhnliches gibt. Das Resultat des Virenscanners Metadefender spricht hingegen eine ganz andere Sprache. 17 von 42 Prüfprogrammen für Schadsoftware haben an diesem Download etwas auszusetzen. Darunter namhafte Hersteller wie AVG, Bitdefender und Symantec. Wiederkehrende Begriffe bei den Namen der Bedrohungen sind AdWare, GrayWare und Freemium.

Wer in Eile ist schaut nicht zweimal

Die perfide Idee dahinter. Wer bei der Suchmaschine schon nicht zu genau hingesehen hat wird es beim Installationsprozess auch nicht tun. Denn die "Zusatzprodukte" welche mit dem ursprünglichen Wunsch nicht das geringste zu tun haben, könnten zwar abgewählt werden sind aber per Vorgabe immer zu installation angewählt. Ein flotter Klick auf "Weiter" beschert Ihnen Programme die sie nie wollten. Durch deren Download verdient der Hersteller des "Managers" und damit der beworbenen Webseite. Man könnte die beworbenen Produkte auch händisch abwählen, aber Vertrauen Sie einem Programm das derartige Methoden nutzt?

Was ist so schlimm an diesen Programmen?

Wie Eingangs erwähnt, machen sich selbst die Konzerne unter den Werbeanbietern wenig Mühe Werbeanzeigen an Viren und Schadprogramme abzuklopfen. Die Prüfung eines Download-Anbieters liegt nochmal deutlich darunter, bzw. existiert gar nicht. Solche Zusatzprogramme sind ein beliebter Weg von Kriminellen Schadprogramme unter die Leute zu bekommen. Ganz direkt ausgedrückt: Werbung ist heute Einfallstor Nummer Eins für Malware.

Bedenken Sie auch, Programme aus zweiter Hand können immer Manipuliert sein, selbst wenn sie Ihnen bekannt sind und laufen.

Sehr beliebt unter diesen Drive-By Downloads sind Programme wie Optimierungstools die vorgeben soeben gefundene "Probleme" auf dem Rechner identifiziert zu haben und beseitigen zu wollen. Allerdings oft nur gegen Erwerb der jeweiligen Vollversion. Im besten Fall sind diese "Tools" nur störend, im schlechtesten beschädigen Sie Ihr Windows oder bremsen es erheblich.

Manche Downloads führen über die Zeit zu regelrechten Kaskaden weiterer Downloads die den Rechner bis zur Unbenutzbarkeit Ausbremsen, jeden Ihrer Klicks an zweifelhafte Anbieter schicken und nicht selten auch richtige Trojaner enthalten. Das passiert jedoch nicht umgehend, sondern im Verlauf mehrerer Tage.

Wo lade ich die Programme denn sonst herunter?

Laden Sie ihre Programme immer beim jeweiligen Hersteller herunter. Im Fall des Adobe Readers wäre das adobe.de, beim Browser Firefox die Seite mozilla.org, bei Google Chrome logischerweise die Webseite google.de. Selbst vergleichsweise renomierte Portale wie CHIP sind nicht ungefährlich wie dieser Beitrag des Trojaner-Boards zeigt.

Open-Source Programme wie z.B. das Tool FileZilla oder VLC sind in der Vergangeheit durch gefälschte Downloads aufgefallen. Diese Programme tun wozu sie bestimmt sind, aber auch Dinge die garantiert nicht erlaubt sind, mit eingebauten Trojanern. bei Open-Source gilt, gerne nutzen aber immer von der Projektseite laden.

Wie schütze ich mich sonst?

Vorneweg, haben sie einen Virenscanner installiert. Unter Windows 10 ist bereits einer im System eingebaut. Bedenken Sie aber das jeglicher Virenscanner nur sehr unzureichend schützt, besonders bei Adware. Das liegt ein wenig in der Natur der Sache, da viele der Programme zumindestens rechtlich legal sind.

Nutzen Sie einen Werbeblocker! Dieser Umstand ist heutzutage reiner Selbstschutz, weil Werbung das Risiko auf Viren massiv steigert. Werbung im Internet ist kein reines Bild, sondern ein eigenständiges Programm dessen Anzeige bereits Risiken birgt. Im Mozilla Firefox hat sich z.B. uBlock Origin bewährt. Dafür brauchen Sie gar keine Downloadseite zu besuchen. Im Menü unter Add-ons -> Add-ons suchen -> uBlock eingeben und zur Installation auswählen.

Prüfen Sie ihre Downloads! Bei verdächtigen Programmen gilt, holen sie eine zweite Meinung zu Ihrem Virenscanner ein. Seiten wie Metadefender oder Virustotal bieten die Möglichkeit Dateien gegen zahlreiche Prüfprogramme laufen zu lassen. Wenn der Punktestand ins Rote geht, Finger weg! Diese Seiten dürfen auch bei Mailanhängen besucht werden.

Ist mein PC verdächtig, und wenn ja was dann?

Verdächtige Verhaltensweisen sind z.B. das plötzliche Verändern der Startseite Ihres Browsers. Es sieht Google ähnlich, ist aber eine andere Seite. Webseiten die Sie besuchen enthalten plötzlich Werbung wo vorher keine war, teils durchdringt sie sogar AdBlocker massiv. Es öffnen sich unvermittelt Popup-Fenster. Programme die Sie noch nie gesehen haben melden unzählige Fehler obwohl der PC sonst wie immer läuft. Treiber wollen sich plötzlich selbst aktualisieren, und melden das an.

Natürlich können Sie solche Infektionen z.B. mit Malwarebytes oder AdwCleaner selbst bekämpfen, aber oft liegen die Infektionen tiefer, und von daher lieber vertrauensvoll an den Fachmann wenden.

Zurück