Kunde: Scareware

This entry was posted by on Donnerstag, 21 Oktober, 2010 at

Ich wollte mir etwas mit dem Flashplayer ansehen, dann erschien ein Popup in dem auf englisch sowas wie ‘gratis Systemcheck’ stand…

Nachdem er der gratis Überprüfung zustimmte, verschwand sein Antivirenprogramm und wurde gegen ein englisches “Secruity Center” ausgetauscht.

Bei den Worten “…mit dem Flashplayer etwas ansehen…” und der darauffolgenden Infektion musste ich natürlich sofort an sowas wie ‘youporn’ oder ‘redtube’ und wie der ganze Klumpatsch heisst denken. Bekräftigt wurde mein Verdacht dann noch durch den Blick, welchen er erst auf seine Frau und dann auf mich richtete als er sagte, “..ich kann mir auch nicht erklären wo das herkommt…“.
Männliche Täter haben immer diesen Blick wenn Familienmitglieder anwesend und sie selber schuldbewusst sind, der sagen soll “sagen sie bitte nicht Pornoseite” ;) .

Was ist eigentlich Scareware?
Gut programmierte Scareware gibt sich oft als Virenscanner aus, welcher sich zufällige Dateinamen vom Rechner nimmt und panisch davor warnt, das diese mit einem Virus/Wurm/Trojaner befallen sei. Im gleichen Schritt bietet die Scareware an das Problem zu entfernen oder dieses zu ignorieren. Wählt man die Behebung an, fordert das Programm einen dazu auf eine Lizenz für diesen Fake-Virenscanner zu kaufen.  Bricht man den Kauf ab oder hat vorher schon auf Abbrechen bzw “Cancel” geklickt, ermahnt einen das Programm, dass die Infektion immernoch besteht und man doch lieber die Lizenz kaufen sollte damit das Problem behoben werden kann.

Mit der Zeit wurde Scareware immer ausgeklügelter. Besonders fiese Scareware versucht das öffnen des Taskmanagers und von Antiviren- und Antispywaresoftware zu unterbinden, warnt beim surfen bei fast jeder aufgerufenen Seite vor Virenbefall und leitet auf die Scareware-”Herstellerseite” um, um zum Kauf der ‘Lizenz’ zu animieren. Diese Lizenz wird oft für günstige 20-50$ angeboten. Besonders miese Scareware führt sich sogar im abgesicherten Modus aus und kann dann oft nur noch vom erfahrenen Fachmann entfernt werden. Stellt man sich mal vor, das auch nur 5% aller Benutzer von infizierten Rechnern diese Summen bezahlen, kommt ein gutes Sümmchen zusammen.

Wie wird man Scareware wieder los?
Für die Entfernung dieser Plagegeister gibt es leider keine Universallösung. Allerdings gibt es gute und vor alle (kosten)freie Software um der Lage Herr zu werden.

Hijackthis überprüft den Rechner und erstellt eine Logdatei welche man auf Hijackthis.de auswerten lassen kann. Die Auswertung greift auf die Erfahrung einer großen Community zurück. Natürlich bleibt es dem Anweder schlussendlich selber überlassen, was er löschen möchte.

Malwarebytes von Malwarebytes.org. Ein wirklich wirkungsvolles und sehr gründliches Programm zum Aufspühren und Entfernen von beinahe aller Art von Infektionen.

Spybot – Search and Destroy von safer-networking.org, findet oft noch verstecke Plagegeister die andere Programme nicht finden.

Mit diesen Programmen ist man schon sehr gut beraten. Natürlich will sich Scareware oft nicht so einfach entfernen lassen. In den meisten Fällen lauert die Scareware auf Prozessnamen von bekannten Entfernungsprogrammen. Sobald einer dieser Namen in der Taskliste auftaucht, wird er abgeschossen.

Wie also vorgehen?
Zuerst sollte man sich die Software über einen nichtinfizierten Rechner auf einen USB-Stick ziehen,
dann den infizierten Windowsrechner im “Abgesicherten Modus mit Netzwerktreibern” starten,
danach die Software installieren und aktualisieren und
schlussendlich die einzelnen Progamme nacheinader durchlaufen lassen.

Sollte das oben beschriebene Problem auftauchen, das sich eines dieser Programme nicht ausfüren oder gar installieren lässt, muss man zu einem Trick greifen: Man nennt einfach die Setup-Datei um. Heisst die Installationdatei beispielsweise “HJTInstall.exe“, nennt man diese einfach in “Brot.exe” um. Wichtig ist dabei das die Dateiendung .EXE beibehalten wird.
Hat die Installation funktioniert, aber das Programm lässt sich nicht starten oder wird nach dem Start automatisch beendet, greift man ebenfalls zu dieser List. Man ruft den Programmordner auf, sucht die Hauptprogrammroutine auf und nennt diese ebenfalls um.

Wie schon gesagt, es gibt keine Universallösung , aber mit diesen Programmen ist man schon gut gerüstet.
Damit man erst gar nicht in eine solche Lage gerät gibt es eigentlich nur zwei Möglichkeiten.
Nummer eins: Rechner weder mit dem Internet verbinden, noch fremde Speichermedien mit diesem verbinden.
Nummer Zwei: Aufpassen welche Seiten man besucht und mit welcher aktiven und passiven Software man surft.

Ich empfehle gerne den Firefox in Kombination mit den Addons ‘Addblock Plus‘ und ‘NoScript‘ und dazu den gratis Virenscanner ‘Avast Antivirus‘.

Und bitte, nur eine Antivirensoftware installieren und benutzen ;)

Tags: ,
Category: Kunden, Software
You can follow any responses to this entry via RSS.
You can leave a comment or trackback from your own site.

5 Kommentare to “Kunde: Scareware”

  1. Jens
    21. Oktober 2010 um 00:57

    Diese Tipps sind gut und dieser Artikel landet gleich mal in meinen Lesezeichen.

    Allerdings: Der Tipp mit dem “Aufpassen welche Seiten man besucht” hat bei mir ja leider nicht geholfen. Ich hab bei google lediglich den Begriff “Snoopy” gesucht und auf ein wirklich putziges Bild geklickt, wo Snoopy und Woodstock Marshmallows grillen und BAM! Da hatte ich den Ärger. Ich kann mir zwar denken, dass viele sich sagen “Jaja… ‘Snoopy’…. klaaaar!”, aber wären es wirklich irgendwelche Pr0n-Seiten gewesen, dann hätte ich das ja noch nachvollziehen können… aber Snoopy?? Wer ist so bösartig den guten Snoopy für so miese Zwecke zu mißbrauchen?? :grr: :dumm: :(

  2. Gerrit
    21. Oktober 2010 um 09:20

    Zu beachten ist natürlich, das die Scareware Prozesse wie Anti-Malware, etc. nicht schließen kann, wenn diese in einem höheren Integrity Level gestartet wurden. ;)

    Denke jeder “erfahrene” PC-User hat schon einmal den PC von jemanden gesäubert, der auf entsprechenden Seiten war. Das kommt selbst in Firmen vor. Rechner lässt sich nicht mehr booten, wird neu installiert, Daten sind teilweise gelöscht, man stellt sie wieder her und denkt man wär im Schlafzimmer von Hugh Hefner. :lol:

  3. kaio
    21. Oktober 2010 um 09:22

    Das Problem ist das sich diese Scarewaredinger und sonstiges Gedöns immer mehr über infizierte Werbebanner verbreiten. Daher sollte man sein Antivirus-Programm immer auf den neusten Stand halten und immer brav Windowsupdates machen ;)

    @Gerrit Danke für den Hinweis :) Im abgesicherten Modus sollte das Problem der Priorität/Integrity “eigentlich” nicht auftreten. Wenn doch hilft oft nur HDD ausbauen und an einem anderen Rechner scannen.
    Und ja :D es kommt sogar sehr oft in großen Firmen vor :D

  4. Zarathustra
    22. Oktober 2010 um 16:56

    Hab’ mir die Sachen gleich auch mal gezogen, danke für den Tipp mit ‘NoScript’; im übrigen bin ich seit Jahren ein überaus dankbarer Nutzer von AdBlockPlus – letztens habe ich es aus irgendeinem Grund mal deaktiviert und vergessen, es vor dem Schließen von Firefox wieder zu aktivieren – beim nächsten Surfen dachte ich mir wie der Todd: “Nanu? Was ist hier denn los?” :D

  5. kaio
    22. Oktober 2010 um 20:13

    Internet ohne Adblock ist die Hölle, so viele Farbe und so viel Geblinke hält ja keiner aus 8O


Schreibe einen Kommentar



;) :| :zunge: :x :watt: :watt2: :twisted: :top: :stop: :roll: :rofl: :psst: :peitsch: :paket: :oops: :ooo: :o :nono: :mrgreen: :lol: :knutsch: :knuddel: :inlove: :idea: :herzen: :gruebel: :grr: :gaaa: :exp: :evil: :dumm: :drum: :driver: :cry: :beep: :bass: :bah: :arrow: :P :D :?: :? :) :( :!: 8O 8)

  • Twitter

    follow me on Twitter