Scareware, Rogueware

Scareware“ oder auch „Rogueware“ bezeichnet heute vor allem betrügerische Porgamme, die Ihnen 1. Vireninfektionen und Gefahren vorgaukeln und dabei 2. genauso aussehen wie eine normale Virensoftware. Wenn Sie 3. versuchen, mit ihrer Hilfe den angezeigten Virus zu entfernen, behauptet die Software, das nicht zu können – und bietet 4. den Kauf der kostenpflichtigen Vollversion an.

Das sieht je nach Windows und Fall so aus:

1. Scareware erschreckt den Anwender mit einer Meldung, die nach echtem Windows aussieht und vor einer Gefahr warnt.

Das OK ist meist obligatorisch, denn es ändert nichts und installiert auch nichts – es ist ein reines Browser-Skript, mit einem einzigen (harmlosen) Javascript-Befehl erzeugt. Probieren Sie es aus:

    Kicken Sie einfach mal auf diesen Link – und Sie sehen, das Ergebnis sieht genauso aus wie der ‘Alert’ einer Scareware.

Bis hier her ist alles noch absolut harmlos. Der Betrüger zeigt sich nach dem Klick als das folgende Fenster (oder als eine Variation davon):

Schritt 2: Die Scareware macht dem Nutzer weis, sein Rechner sei infiziert. Dazu dient diese Simulation eines typischen Windows-XP-Fensters (die wahrscheinlich in den kommenden Monaten zunehmend durch Versionen im Windows-7-Look ersetzt werden wird)

Wer würde hier nicht auf Start Protection klicken?

Schritt 3: Der User wird dazu überredet, etwas herunter zu laden. Ein Klick auf 'Remove All', schon wandert eine Wundersoftware auf den Rechner. Und wer die startet, hat Ärger am Hals. Ein Klick auf 'Cancel' oder den Schließen-Button bewirkt übrigens meist das gleiche - es hilft nur, den Browser zu schließen.

Der Betrug besteht darin, dass man Ihnen ein Heilmittel gegen eine Krankheit verkauft, die Sie gar nicht haben. Etwa so, wie die „Geisterjäger“ in „Brothers Grimm“, die ihr Geld damit verdienen, sowohl den Poltergeist als auch seine Austreibung zu erfinden. Wie die Kosmetikindustrie, die uns einredet, wir wären hässlich, wenn wir uns nicht ihre Pampe ins Gesicht schmieren. Ich weiß auch gar nicht, wie viele Leute wirklich all die angeblichen Verdauungsprobleme haben, wegen der wir ständig Joghurt essen und Joghurtdrinks trinken sollen… Und weil Sie rechtlich gesehen (vereinfacht gesagt) nur eine Software gekauft haben, die nicht besonders toll arbeitet (und welche Software tut das schon?), sehen Sie Ihr Geld in aller Regel nicht wieder. Zumal niemand für unter 100 Euro Prozesse anstrengt, noch dazu internationale. Weil, das dürfte ja klar sein, die “Hersteller” ihren Sitz in Hinter-Blahtschigistan haben.

Rogue-Software und Scareware ist ein Betrug, der sich die überwiegend negativen Eigenschaften unserer digitalen und zugleich globalen Welt zunutze macht:

  • Keiner weiß mehr etwas,
  • kein Recht gilt mehr,
  • niemand schützt den digitalen Bürger –
  • und das Businessmodell lautet: viel Kleinvieh macht auch Mist („Long Tail“).

Wo haben Scareware und Rogueware ihre Ursprünge?

Es gibt zahlreiche Schreckprogramme, Tools, die so tun, als würden sie ein Laufwerk formatieren und ähnliches. Auch sie lösen einen „scare“ aus. Das könnten die Vorfahren sein.

Möglicherweise haben wir es auch einer Software namens Thunderbold Virus Scanner (oder so ähnlich, nicht jedoch “Thunderbyte”, den gab es wirklich) zu verdanken. Lange vor Windows, zu DOS-Zeiten, tat dieses Programm so, als wäre es ein Virenscanner, allerdings ein witziger: Es durchsuchte die Festplatte des Anwender, machte hier und da einige hämische Bemerkungen zur gefundenen Software, fand dann und wann einen Virus, zeigte in Form aufwändiger Grafiken an, wie es den Virus in einem Kampf verwickelt, ihn wie in einer Art Computerspiel zu verlieren gewinnen scheint, dann aber die Oberhand gewinnt und schließlich siegt und weiterscannt. Völliger Blödsinn, aber sehr lustig, zumindest beim ersten Mal. Und harmlos, denn es passierte in Wirklichkeit rein gar nichts, außer dieser Anzeige.

(Weiß jemand, was ich meine, und hat das Ding noch irgendwo?)

Moderne Scareware macht im Prinzip dasselbe, nur dass Scareware Sie zur Kasse bittet.
Das ist dann gar nicht mehr harmlos.

Wie kommt Scareware auf meinen PC?

(Häufig) Link-Infektion:
Zunächst wird das Opfer auf eine Website gelockt, die die Scareware auf seinem PC installieren soll. Das passiert zum Beispiel durch gekaufte Junkmails, oder durch Malware, die infizierte Rechner dazu benutzt, über Mail oder Facebook oder Twitter Spam-Links zu verschicken, die auf solche Seiten zeigen.

Das heißt also: Nicht die Scareware ist „infiziert“, denn diese ist eine normale Software, sondern es wird eine als effizient bekannte Verbreitungsmethode – Spam, Würmer, soziale Netzwerke – nur verwendet, um mit möglichst großer Reichweite auf Scareware-Websites zu verweisen.

Die Scareware-Website zeigt dem Opfer einen Bildschirm an, der aussieht, als würde ein Web-Scanner laufen. Windows-ähnliche Fenster zeigen sich, oder kleine Popups rechts oder links unten im Browser, und warnen vor Malware mit dem Hinweis, mit einer „Freeware“ könne man sich Gewissheit verschaffen. Das ganze nennt sich “Drive-By-Download”: Der Download startet im “Vorbei-Surfen” schnell und unkompliziert, ein Klick auf den einzig vorhandenen Button (der in diesem Fall keiner ist) reicht:

Die Scareware verleitet den User zum Download (Klick auf 'Protect'), dieses angebliche Windows-Fenster sieht schon fast so aus wie das, das danach wirklich von Windows kommen wird, um den Download zu bestätigen. Methodisches Einlullen durch stupide Wiederholung! Man beachte auch, wie das Script der Malware-Website den Hintergrund abdunkelt, um den seit Windows Vista bekannten 'Zustimmungs-Modus' zu imitieren, der sich auch in Windows 7 findet. Alle Scareware ist bemüht, vertraut zu wirken...

Das Opfer installiert sich die vermeintliche Freeware. Das passiert freiwillig, und die Scareware richtet für sich genommen (meist) auch keinen oder nur geringen Schaden an – sie nervt eben nur. Der Schaden entsteht erst, wenn das Opfer dann die Vollversion erwirbt, und er ist in der Regel rein finanzieller Natur. Einfach ein Software-Fehlkauf. Rausgeschmissenes Geld.

(Häufig) “Vergiftete” Suchmaschinen:
Häufiger, als man denkt, gelangt man über Suchergebnisse zu einer Scareware-Startseite. Die Betrüger orientieren sich dabei gezielt an Suchanfragen, die wirklich häufig gestellt werden (SEO-Spamming). Wer den Mut hat, kann über die Google-Bildersuche einfach mal nach sexy wallpaper oder ähnlichem googeln oder bingen und wird in den Ergebnissen mal schnell, mal weniger schnell fündig werden.

(Häufig) Huckepack zu anderer Software: Mit Scareware wird reales Geld verdient. Es geht diesen Leuten nicht im „Hacker-Kunst“, Rum & Ähre, Anarchie, politische Visionen oder dergleichen. Sie wollen bloß den Za$t€r. Und den kriegen sie ganz reell. Daher können sie auch für die Dienstleistung bezahlen, zusammen mit anderer Software ausgeliefert zu werden.

Dabei handelt es sich um ein legales und etabliertes Finanzierungsmodell. Denken Sie an all die Freeware-Tools, die inzwischen Yahoo!- oder Ask.com-Toolbars, Chrome-Browser oder anderes Zeug bei der Installation mit installieren wollen. Legal. Harmlos.
Doch dieses Finanzierungsmodell gibt es eben auch für unseriöse Kunden. Wer dringend Geld braucht, nimmt schließlich auch schmutziges. Das heißt, Sie als Anwender installieren eine vermeintlich kostenlose, reale und vielleicht sogar nützliche Software, und die installiert Ihnen auch noch die Scareware, ohne dass Sie es mitbekommen. Oder sie kommt über einen illegalen Crack oder eine kommerzielle Software aus illegalen Quellen … die Möglichkeiten sind groß.

Abhilfe: Installieren Sie nicht jeden Mist. Meiden Sie Cracks und Raubkopien. Prüfen Sie, ob es diese Software auch bei bekannten Download-Quellen (etwa vom Kiosk bekannten PC-Zeitschriften) gibt und ob es dort positives oder negatives Feedback zu diesem Tool gibt. Downloaden Sie ein Tool entweder nur bei einer führenden Quelle, die als seriös gelten kann (es reicht nicht, dass die Website seriös aussieht!; seriöse Sites sind zum Beispiel heise.de, chip.de, pcwelt.de, pcmagazin.de und so weiter) oder beim Anbieter / Programmierer selbst; versichern Sie sich aber – etwa durch Verweise bei den genannten seriösen Download-Quellen) –, dass es sich wirklich um die Website des Programmierers handelt.

Paranoide halten sich einen Test-PC, auf dem sie solche Software vorher ausprobieren und abwarten, was passiert. Ganz besonders Paranoide installieren überhaupt keine Software, sie entwickeln sie ausschließlich selber. Oder leben in den Bergen, mit Alufolie als Hut.. (sogenannte “Silver Hat”-Hacker <- na gut, das hab ich soeben erfunden)

Wenn Scareware kein Virus ist, was ist denn dann das Problem?

Das merken Sie, sobald Sie eine Scareware installiert haben. Es nützt ja nichts, eine immerzu drängelnde Software auf dem Rechner zu haben, die ständig Viren meldet. Da nervt zum Beispiel diese Meldung den ganzen Tag:

Scareware nervt durch penetrante Gefährdungslügen

Zumal Sie Scareware nicht entfernen können. Sie klammert sich hartnäckig an Ihren PC, oft sogar hartnäckiger als ein Wurm. Selten hilft ein Antivirenprogramm, weil diese (noch) nicht auf Scareware abgerichtet sind, selbst heute.

Immer öfter geht Scareware gegen potentielle Gegner vor, schaltet Windows-Features und Schutzfunktionen aus. Das bedeutet, mit einer installierten, scheinbar harmlosen und nur nervtötenden Scareware ist Ihr PC unter Umständen potentiell unsicherer als im gesunden Zustand. Gute Beispiele geben die Screens im nächsten Abschnitt:

Woran erkenne ich, dass ein PC mit Scareware infiziert ist?

Das ist von Fall zu Fall unterschiedlich, aber nicht zu übersehen. In jedem Fall existiert plötzlich eine “Sicherheitssoftware”, die ganz normal, um nicht zu sagen ‘professionell’ aussieht:

Scareware: sieht aus wie ein Virenprogramm, meldet viele Bedrohungen und spricht schlechtes Deutsch

Sie meldet Viren en masse. Wer nun versucht, diese Fake-Software wieder loszuwerden, scheitert je nach Scareware-Version an verschiedenen Hindernissen, die stets auf das gleiche hinauslaufen: Der Benutzer wird daran gehindert, sein System zu reparieren:

Hier verhindert Scareware den Start des Task-Managers tskmgr.exe

Oder:

Hier verhindert Scareware den Start des Registrierungs-Editors regedit.exe

Hier blockiert Scareware die Kommandozeile

Selbst die Systemwiederherstellung versagt:

(Man kann sie übrigens von extern aufrufen (Windows 7 Rettungs-CD), das _kann_ u.U. auch die Scareware entfernen, aber zumindest mein Testwindows war dennoch teilbeschädigt.)

Warum erkennen Antivirenprogramme die Scareware nicht?

Im Alltag jedenfalls beobachte ich, dass die Scareware, die mir begegnet, selten von Scannern erkannt wird.

Sie kann sich gut tarnen, weil viel Mühe in sie investiert wird. Das liegt daran, dass man mit Scareware echtes Geld verdienen kann. Wir reden hier von einer Industrie! Sie kann professionelle Programmierer bezahlen, die ständig neue Versionen entwickeln. Eine ehrliche Software zu programmieren ernährt hingegen nur schwer – alles muss umsonst sein, was es nicht ist, wird vom User raubkopiert. Ich habe ein gewisses Teilverständnis für Entwickler, die sich angesichts bizarrer Copyright-Debatten und digitaler Enteignungsforderungen einem Geschäftsmodell zuwenden, das funktioniert und garantiert Geld bringt.

Ein weiteres Problem ist, dass der betrügerische Akt außerhalb der Software-Funktion liegt. Das Opfer zahlt ja freiwillig (!), weil es vor allem durch Texte und Grafiken getäuscht würde. Die Vertriebsmethode ist das eigentliche Verbrechen. Auf der Software-Seite gibt keinen Unterschied zwischen einer sehr schlechten Antivirensoftware, deren Freeware-Version keine Viren entfernen kann, und einer Scareware. Mal ehrlich: Wo ist denn wirklich der klare und eindeutige Unterschied zwischen dem kostenlosen Norton Scanner, der keine Viren entfernt und um harmlose Cookies ein Geschrei macht (aber natürlich keine Scareware ist), und einer Scareware?

Ein „echter“ Antivirenhersteller geht vereinfacht gesagt auch das Risiko ein, von der anderen Firma rechtlich belangt zu werden, wenn er deren (wirkungslose) „Antivirensoftware“ als Scareware bezeichnet. Der Scarware-Hersteller muss nur rudimentäre Schutz- und Scan-Funktionen in seine Software einbauen, schon kann er seine Software als „echt“ deklarieren – dafür, dass sie schlecht ist, kann ihn keiner vor den Kadi schleppen, und die betrügerische Vertriebsmethode muss man ihm ja erst mal nachweisen.

Und wie sollte man das einem Richter vermitteln in einem Land, in dem der Computer immer noch ein Symbol ist für Kriminalität und Amoklauf, ein Land, dem die Verantwortlichen wirklich glauben, die Blockade von Kinderporno-Webseiten über Namensserver würde etwas gegen Kinderpornos ausrichten, in einem Land, in dem man verbietet, über Hacker-Tools zu berichten, ein Verbot, das nur Aufklärern (wie mir) und Opfern (wie hoffentlich nicht Ihnen) schadet, nicht aber Blackhat-Hackern und Internetkriminellen, denn die tun es selbstverständlich weiterhin und können unbelangt Herrschaftswissen aufbauen.

Wie kann ich mich gegen Scareware schützen?

  • Ignorieren Sie Installationsaufforderungen, die sich aus dem Web ergeben, und die nicht beim Starten des Browser erscheinen.
  • Wenn im Browser etwas hochpoppt, das Ihnen sagt, Sie müssten es installieren, dann notieren Sie, was installiert werden soll, verlassen Sie die Seite und prüfen Sie extern, ob Sie die Erweiterung wirklich brauchen. Ich sage: PDF, Flash, Java – mehr braucht keiner, PDF und Flash sind schlimm genug.
  • Je dringender, eiliger, wichtiger, umsonster, je mehr free – desto misstrauischer müssen Sie sein.
  • Werden Sie misstrauisch bei Fragen, bei denen Sie nur ein “OK” oder “Ja” zu Wahl haben – kein “Nein” oder “Abbrechen”.
  • Werden Sie besonders misstrauisch, wenn im Web etwas, das wie ein Virenscanner aussieht, auftaucht, obwohl Sie überhaupt keinen Online-Virenscanner besucht haben.
  • Werden Sie misstrauisch, wenn Ihnen ein Scanner sehr viele oder viele verschiedene Infektionen anzeigt. Das hat niemand (na gut: kaum jemand…), die meisten Rechner haben ein bis drei Tierchen. Aber keine sieben & mehr:

Zu viele Infektionen, um wahr zu sein...

  • Werden Sie misstrauisch, wenn ein Scanner Viren zwar anzeigt, aber nicht entfernen mag.
    Seriöse 30-Tage-Test-Versionen von Antivirensoftware, die definiere ich persönlich für mich als 30-Tage-Versionen, die 30 Tag lang wirklich vollständig funktionieren, also auch Viren entfernen. Alles andere ist meiner Meinung nach Mist.
  • Werden Sie misstrauisch, wenn jede Funktion, die wirklich nützlich ist, nur zu einem Fenster führt, in dem Sie zur Kasse gebeten werden.
  • Verlassen Sie sich auf nichts.
  • Installieren Sie keine Software aus dubiosen Quellen, keine Cracks, keine Serial-Generatoren, keine Raubkopien. Achten Sie umgekehrt darauf, Ihre Software nur aus als einigermaßen seriös bekannten Quellen zu beziehen, am besten solche, die Feedback-Mechanismen haben, über die die Peer Group zum Beispiel Bewertungspunkte oder Kommentare abgeben kann.

Wie entferne ich Scareware von meinem PC?

Eher schwer, abhängig davon wie “gut” die böse Scareware ist. Bedenken Sie: Wurde eine Scareware installiert, hat diese auf Windows alle Möglichkeiten, die Windows selbst hat. Es kann daher auch alle Gegenmaßnahmen verhindern.

Einfach: deinstallieren. Kann in ganz seltenen Fällen klappen. (Ganz selten. Meist ist die Scareware nicht als installierte Software zu finden und hat auch keinen Uninstaller.)

Meine Empfehlung:
Booten Sie von der Windows-7-CD oder Rettungs-CD. Versetzen Sie den Rechner in den letzten als funktionierend bekannten Zustand. Starten Sie neu. Wenn alles noch geht: Glück gehabt. Wenn nicht: Pech gehabt. In beiden Fällen sicheren Sie Ihre aktuellen Dokument-Dateien (Eigene Dateien, Bilder, Browser-Bookmarks, etc.) auf einer externen Festplatte; spielen Sie danach das Backup ein, dass Sie unlängst angelegt haben (Windows 7 hat ein eingebautes Image-Backup).

Tools:
Meine Empfehlungen für das Entfernen sind das Spezialtool Remove Fake Antivirus, aber auch Klassiker wie „Spybot Search & Destroy“ oder eine 30-Tage-Version guter kommerzieller Antivirenprogramme wie AVG, Bitdefender, F-Secure, Kaspersky, Panda & Co. (Geht nur einmal.). Man muss aber eben Glück haben – und eine Scareware, die als solche erkannt wird.

Vorher eine oder mehr Rescue-Boot-CDs zum Retten wichtiger Daten und danach die eine oder andere Antiviren-Boot-CD können auch nicht schaden. So oder so: Sichern Sie nach der Desinfektion Ihre aktuellen Dokument-Dateien (Eigene Dateien, Bilder, Browser-Bookmarks, etc.) auf einer externen Festplatte; spielen Sie danach das Backup ein, dass Sie unlängst angelegt haben (Windows 7 hat ein eingebautes Image-Backup).

Wenn trotz allem nichts geht:
Daten brennen, Backup zurück spielen oder Windows neu installieren. Es dauert einen Tag, ist sicherer als Desinfektion und gibt Ihnen die Gelegenheit, mal alles auf den neusten Stand zu bringen.

Übrigens: Wenn Sie eine Scareware haben, am besten noch als Installer, dann schicken Sie mir das Tierchen doch bitte an virus@unsicherheitsblog.de – danke!

Wie wird sich Scareware künftig entwickeln?

Derzeit tut sich nicht wahnsinnig viel bei Scareware, Sie lesen diesen Beitrag nur, weil ich endlich mal erklären musste, warum diese Website heißt, wie sie heißt ;-). Interessante Trends:(Bild: F-Secure)

  • Einige Scareware tarnt sich laut F-Secure-Blog nicht mehr als „Antivirenprogramm im Web“, statt dessen tarnt sie sich als die Website, die man sieht, wenn sich gerade Firefox aktualisiert hat, und weist darauf hin (siehe Bild rechts), dass man aus Sicherheitsgründen auch Flash updaten solle – ziemlich trickreich, finde ich.
  • Zugleich deutet dieses Beispiel an, dass die Scareware-Schleudern bereits Browser unterscheiden können, denn einem Internet-Explorer-User braucht man die Firefox-Seite eher nicht anzubieten. Da prinzipiell auch Ihre Betriebssystemversion via Web abfragbar ist, dürfte es meiner Meinung nach nur eine Frage der Zeit sein, bis wir Drive-by-Webseiten sehen, die je nach Windows XP oder Windows 7 getrennt reagieren und so die Täuschung perfekt machen.
    (Derzeit ist es ja noch so, dass auf Win-7-Rechner Scareware-Webseiten durch das Teletubby-Design ihrer XP-Style-Fenster auffallen. Aber man kann sich eben nicht mehr darauf verlassen.)
  • Immer öfter wird Scareware verbreitet, indem die Kriminellen verstärkt Suchmaschinen manipulieren („URL poisoning“, „Black Hat SEO“), und zwar gezielt zu aktuellen Anlässen: Katastrophen, Star-Rummel, Film-Hits wie „Twilight“…
  • Zunehmend infiltriert Scareware den Rechner des Anwenders und unterwandert seine Funktionen. Viele Beispiele finden Sie oben, ein weiteres Beispiel ist jene Scareware, auf die Kaspersky hier verweist: Sie erweitert der erweiterbaren Task-Manager von Windows um eine Spalte, in der der Zustand des Prozesses als infiziert oder sauber angegeben wird. Wäre ein Riesenhit, wenn Windows das könnte – im Fall der Rogueware sollen die Nutzer allerdings nur wieder erschreckt werden, vor allem fortgeschrittene Anwender oder Einsteiger, die Ratschlägen auf Hilfeseiten im Web folgen und mit dem Task-Manager rumbasteln.

Scareware dringt ins System ein und erweitert hier den Task-Manager (angeblich) um die Funktion, Prozesse als infiziert erkennen zu können (Bild: Kaspersky Blog)