Vorgetäuschte Sicherheitsprogramme breiten sich aus

Mit einem neuen Trick greifen Online-Betrüger ins Portemonnaie der Anwender

(25.06.07) - Trend Micro hat einen neuen Bedrohungstrend identifiziert: Vorgetäuschte Sicherheits-programme, die keine Leistung erbringen und oftmals selber für die Infektion des Computers verantwortlich sind. Im Gegensatz zu anderen Bedrohungstypen, die mit einem plötzlichen Anstieg der Infektionsraten auf sich aufmerksam machen, kann bei vorgetäuschten Sicherheitsprogrammen ein stetiger Anstieg verzeichnet werden. Nach Erkenntnissen der Trend Micro TrendLabs handelte es sich Anfang 2006 nur bei zwei Prozent aller Bedrohungen um unseriöse Sicherheitsprogramme - im März 2007 ist dieser Anteil bereits auf zehn Prozent gewachsen. Durch vorgetäuschte Sicherheitsprogramme versucht die Malware-Szene erneut, über Social Engineering ihre finanziellen Interessen zu verfolgen.

Vorgetäuschte Sicherheitsapplikationen werden im Verborgenen herunter geladen und auf dem PC des Anwenders installiert. Auf verschiedene Arten "warnen" sie den Nutzer unablässig vor einer angeblichen Infektion - in Wirklichkeit liegt jedoch keine Infektion vor oder die Malware wurde erst zusammen mit dem vorgetäuschten Sicherheitsprogramm installiert. Die Anwender erhalten das Angebot, gegen eine Gebühr das Upgrade von der "Free Trial"-Version auf die volle Funktionalität zu erhalten. Mehrere Tausend Internetbenutzer haben hier bereits nachgegeben und für ein angebliches Anti-Spyware-Produkt bezahlt, das keinerlei Leistung erbringt. Die Kosten bewegen sich dabei typischerweise in Größenordnungen von 50 Dollar pro Bestellung. Viele Anwender lassen zudem verständlicherweise ihre Kreditkarte sperren, sobald sie bemerken, dass die Software nutzlos ist und ein betrügerisches Unternehmen jetzt über die Kreditkartendaten verfügt. Weitere Unannehmlichkeiten und Verluste sind die Folge.

Die Installation der Programme erfolgt auf unterschiedliche Weise. So kann eine Windows-Schwachstelle (Exploit) vom Malware-Autor genutzt werden, um Software versteckt zu installieren, sobald der Anwender eine E-Mail öffnet oder eine Webseite aufruft. Bei einer anderen Methode werden Besucher von Webseiten mit Video-Inhalten dazu aufgefordert, einen zur Bilddarstellung angeblich benötigten Video-Codec herunter zu laden. Anstelle des Video-Codec wird jedoch ein gefälschtes Sicherheitsprogramm herunter geladen. Popup-Banner-Werbung, die Anwender zur Installation "notwendiger" Software auffordert, bietet Malware-Programmierern einen weiteren Weg, Schädlinge auf Rechnern einzuschleusen.

Design und Bedienung der vorgetäuschten Sicherheitssoftware sind so angepasst, dass der Eindruck einer seriösen Demoversion entsteht. Für die häufigen Warnmeldungen werden unter anderem Popup-Fenster, manipulierte (hijacked) Browser-Startseiten und Desktop-Hintergründe sowie Popup-Meldungen aus der Schnellstartleiste verwendet. In vielen Fällen sind die angeblichen Warnungen aufgrund ihres Designs nur schwer von Microsoft Windows Alarmmeldungen zu unterscheiden. Die Inhalte der Nachrichten sind dabei immer ähnlich: Eine Viren- oder Spyware-Infektion wurde entdeckt und Abhilfe ist nur beim Kauf der Vollversion möglich. Zu den unzähligen gefälschten Softwarepaketen gehören unter anderem Winfixer, SpywareQuake, ErrorSafe, ErrorGuard, SpyShield, ApyAxe, SpywareNuker sowie die aktuellen Spyhealer, DriverCleaner und SystemDoctor.

"Die Anzahl vorgetäuschter Sicherheitsprogramme steigt eindeutig", kommentiert George Moore, Threat Researcher bei Trend Micro. "Beim Download von Software müssen Anwender daher besonders vorsichtig sein. Darüber hinaus benötigen Nutzer eine aktuelle Sicherheitssoftware von einem bekannten und zuverlässigen Hersteller, um Systeme auch vor den immer raffinierteren Web Threats zu schützen."

Sicherheitstipps zum Schutz vor unseriösen Programmen

· Anwender sollten ausschließlich Sicherheitssoftware von zuverlässigen Herstellern kaufen. Diese Lösungen können die meisten vorgetäuschten Sicherheitsprogramme erkennen und deren Installation verhindern.

· Wenn eine Infektion gemeldet wird, sollten Anwender immer eine zweite Meinung einholen, zum Beispiel von einem Online-Scanning-Service.

· Vor dem Kauf von Software sollten sich Anwender über Online-Testberichte und Kunden-Feedback informieren. Für die Transaktionsabwicklung ist eine sichere Verbindung erforderlich, die mit einem "Schloss"-Symbol in der unteren rechten Ecke des Fensters gekennzeichnet wird.

· Zur Überprüfung der Vertrauenswürdigkeit kann die Software auch mit einer Schwarzen Liste unseriöser Programme abgeglichen werden, die von unabhängigen Analysten zusammengestellt wird.

(Trend Micro: ma)