eFast Browser: außen Chrome, innen Adware

Wie PCWorld mitteilt, haben Forscher ein neues Programm zum Anzeigen von Werbung gefunden, das wie ein Browser aussieht und sogar versucht, Chrome zu ersetzen, wenn dieser Browser im System installiert ist.

Eine von PCRisk und MalwareBytes durchgeführte Analyse zeigt, dass dieser Pseudo-Browser auf der Basis der Open-Source-Software Chromium entwickelt wurde, daher ist er Google Chrome der Aufmachung nach sehr ähnlich – man bemerkt den Betrug nur, wenn man auf „Eigenschaften“ geht.

Nachdem er sich im System installiert hat, macht sich eFast selbst zum Standardbrowser und übernimmt verschiedene Dateiassoziationen (Einstellungen, die bestimmen, in welchem Programm eine Datei mit einer konkreten Erweiterung geöffnet wird), wie etwa HTML, JPG, PDF, PNG, GIF. Zudem fängt er auch URL-Assoziationen ab, damit alle über FTP, HTTP, HTTPS, IRC, MMS, MAILTO usw. verfügbaren Links gleich in einer neuen Anwendung geöffnet werden.

Um Chrome komplett von allen Arbeitsprozessen zu trennen, löscht der eFast-Installer das Chrome-Icon von der Taskleiste und vom Desktop. Offensichtlich hofften die Autoren des Schädlings, dass neue Icons mit Shortcuts auf YouTube, Amazon, Facebook, Hotmail und so weiter völlig ausreichen, um die Anwender in die Irre zu führen, denn die Logos von eFast und Chrome sind auf den ersten Blick tatsächlich sehr ähnlich.

Die Hauptaufgabe von eFast besteht im Anzeigen von Popup-Bannern und Kontextwerbung über den vom Nutzer besuchten Seiten. Wie eine Analyse zutage brachte, stehen einige dieser Werbeanzeigen mit kommerziellen Sites in Verbindung, andere enthalten Redirects auf potentiell gefährliche Seiten. eFast sammelt zudem Informationen über häufig besuchte Ressourcen und gibt sie weiter. Bemerkenswert ist, dass auf der Site von Clara Labs, der Firma, die hinter dieser Anwendung steht, eine Datenschutzerklärung zu finden ist, doch als ein Reporter von PCWorld versuchte, sie in Chrome zu laden, wurde ihm eine Malware-Warnung angezeigt.

eFast wird wie viele andere potentiell gefährliche Programme auch, zusammen mit einem legalen Programm verbreitet, das gewöhnlich aus nicht offiziellen Quellen geladen wird. Die Forscher von PCRisk unterstreichen, dass das bei weitem nicht der erste Schädling ist, der sich als Webbrowser tarnt, denn diesen Trick wandten auch schon die Autoren von Unico Browser, CrossBrowse, Tortuga, BoBrowser und MyBrowser an. Alle diese Anwendungen positionieren sich als legitim, ausgestattet mit verbesserter Surf-Funktionalität, allerdings hält nicht eine von ihnen diese Versprechungen. Die Experten von MalwareBytes haben ihr Sample von eFast auf VirusTotal geladen und herausgefunden, dass die meisten modernen AV-Programme den Pseudo-Browser als Adware der Familie Eorezo, seltener als Tuto4PC, detektieren.

Quelle: PCWorld

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.