Gefälschte Antivirus-Programme: Vermeintliche Rettung oder böse Überraschung?

In jüngster Zeit machen immer wieder Antiviren-Programme von sich Reden, die an sich keine echten Antiviren-Programme sind: Bezeichnet werden sie als Fraud Tools oder Rouge AVs – gefälschte Antiviren-Software. Ahnungslose Anwender werden von diesen Programmen darüber benachrichtigt, dass angeblich ein Schadprogramm auf dem Rechner gefunden wurde – in Wahrheit allerdings kann diese falsche Software weder Malware identifizieren noch entfernen. Die Funktion solcher Programme ist nämlich eine ganz andere: Sie soll Nutzer davon überzeugen, dass ihr Rechner gefährdet ist (was in Wirklichkeit keineswegs der Fall ist) und ihn dazu bringen, ein bestimmtes Antiviren-Produkt zu kaufen. Kaspersky Lab ordnet solche Programme der Kategorie Riskware zu – im Fachjargon auch Fraud Tool genannt.


Abb. 1: Hauptfenster von FraudTool.Win32.SpywareProtect2009

Diese Form von Riskware ist sehr verbreitet und wird bei Cyberkriminellen immer beliebter. In der ersten Hälfte des Jahres 2008 entdeckten Kaspersky-Experten über 3.000 gefälschte Antiviren-Programme, im selben Vergleichszeitraum 2009 gab es bereits über 20.000 Fraud Tools – das entspricht einer Steigerung von über 600 Prozent!

Wie werden Fraud Tools verbreitet?

Doch wie gelangen die gefälschten Antiviren-Programme auf die Rechnern der Anwender? Die Verbreitungsart unterscheidet sich nicht von der für die meisten anderen Schadprogramme. Die Programme werden beispielsweise im Hintergrund mit Hilfe eines Trojan-Downloaders heruntergeladen beziehungsweise durch Schwachstellen gehackter und infizierter Webseiten verteilt.

Oft liegt die Schuld allerdings direkt beim Nutzer, indem er sich das Fraud Tool selbst auf seinen Computer herunterlädt. Damit es soweit kommt, verwenden die Internetbetrüger spezielle Programme (z.B. Hoaxes) sowie Internetwerbung in eigener Sache.

Bei einem Hoax-Programm handelt es sich um ein betrügerisches Programm, das den Nutzer in erster Linie davon überzeugen soll, eine bestimmte „Wundersoftware“ gegen Viren, Würmer und Co. herunterzuladen und auf seinem Rechner zu installieren. Dies kann aber auch geschehen, wenn der Anwender nicht einwilligt.

Für seinen Download nutzt ein Hoax zunächst ein Backdoor oder eine Sicherheitslücke auf einer Webseite. Nach Installation des Programms erscheint ein Fenster mit einer Warnung über System- und Registryfehler, oder es wird vor dem Diebstahl persönlicher Daten gewarnt.


Abb. 2: Eine von Hoax.Win32.Fera erzeugte Warnung

Auf dem Screenshot oben sieht man eine Falschmeldung zu einer vermeintlichen Spyware-Infektion des Computers, inklusive der Aufforderung zur Installation eines „Spyware Removers“. Unabhängig davon, ob der Anwender „ja“ oder „nein“ anklickt, wird der Versuch gestartet, das Fraud Tool auf den Anwenderrechner herunterzuladen und zu installieren.

Um gefälschte Antiviren-Programme unter die Anwender zu bringen, treiben die Online-Betrüger aber auch Internetwerbung in eigener Sache. Heutzutage gibt es auf fast allen Internetseiten Werbebanner zu allen möglichen „Wunderprodukten“. Legale Seiten sind hier leider keine Ausnahme, denn auch hier finden sich oftmals blinkende Banner und penetrante Popups, die eben unter anderem auch für „neue Antiviren-Produkte“ werben. Dass beim Surfen im Web im Browserfenster des Nutzers ungebetene Werbung für den kostenlosen Download von Antiviren-Programmen erscheint, ist nichts Außergewöhnliches. Ein solches Werbefenster kann beispielsweise wie folgt aussehen:


Abb. 3: Werbefenster für ein angebliches Antiviren-Programm

Diese Werbefenster lassen dem Anwender in der Regel gar keine Wahl, denn sie bieten nur die Optionen „OK“ oder „JA“. Selbst wenn man eine solche Offerte angeblich ablehnen kann, installiert sich das gefälschte Antiviren-Programm automatisch auf dem Rechner – egal, was man zuvor angeklickt hat.

Vor kurzem entdeckten Kaspersky-Experten eine Methode, wie solche dynamischen Downloads von gefälschten Antiviren-Programmen funktionieren: Unter der Adresse ********.net/online-j49/yornt.html wurde beispielsweise ein Skript abgelegt, das zur anschließenden Umleitung die folgende Adresse erzeugte: http://******. mainsfile.com.com/index.html?Ref=’+encodeURIComponent(document.referrer). Die erzeugte Adresse hing davon ab, von welcher Webseite der Nutzer auf die Seite mit dem Skript geraten war (diese Möglichkeit wird mit Hilfe der Eigenschaft document.referer realisiert). In diesem Fall erfolgte die Umleitung auf http://easyincomeprotection.cn/installer_90001.exe, wo Kaspersky Lab das neue gefälschte Antiviren-Programm FraudTool.Win32.AntivirusPlus.kv entdeckte.

Durch die dynamische Verbreitung können Internetbetrüger die IP-Adressen der Webseiten, von denen die Schadprogramme heruntergeladen werden, verbergen. Denn das Empfangen von Antiviren-Updates sowie das Entdecken von Viren wird dabei erschwert. Die dynamische Verbreitung von Schadprogrammen ist bei Cyberkriminellen daher sehr beliebt.

Der Netzwerkwurm Net-Worm.Win32.Kido.js, der von Kriminellen zuletzt zur Erstellung von Botnetzen eingesetzt wurde, verwendet beispielsweise Dynamic Domain Name Server (DDNS) und lädt und installiert umgehend das gefälschte Antiviren-Programm FraudTool.Win32.SpywareProtect2009.s. Dies legt die Vermutung nahe, dass höchstwahrscheinlich ein und dieselbe Gruppe von Virenschreibern sowohl die Netzwerkwürmer als auch die falschen Antiviren-Programme erstellt – wobei erstere dafür sorgen, dass sich diese Programme dann auch ungehindert installieren können.

Wichtigste Regel: Schrecken verbreiten

Nachdem nun geklärt ist, wie die gefälschten Antiviren-Programme auf den Rechner gelangen, stellt sich die Frage, was danach auf dem Computer geschieht.

Zunächst startet das Programm einen Virenscan, anschließend meldet es angebliche Malware-Entdeckungen. Die Reihenfolge der Meldungen ist dabei gut durchdacht: zum Beispiel wird zuerst ein Windows-Fehler gemeldet, dann ein Schadprogramme entdeckt und anschließend eine Aufforderung zum Download eines Antiviren-Programms generiert. Um die Zuverlässigkeit des Programms zu unterstreichen, wird manchmal zusammen mit dem Antiviren-Programm eine spezielle Datei auf den Rechner geladen, die dann beim Virenscan entdeckt wird.

Wird vom gefälschten Antiviren-Programm ein angeblicher Fehler gemeldet, bietet es dem Nutzer gleich an, den gefundenen Fehler zu beheben und den Rechner zu reparieren, allerdings kostenpflichtig.

Um die Funktionsweise von gefälschten Antiviren-Programmen noch detaillierter zu illustrieren, werden im Folgenden die beiden Programme FraudTool.Win32.DoctorAntivirus und FraudTool.Win32.SmartAntivirus2009 näher untersucht. Die Screenshots unten zeigen, wie sie Probleme bei Windows XP Professional Service Pack 2 entdecken, die in Wirklichkeit nicht existieren, und anschließend zu einer Zahlung für die entsprechende Produktaktivierung auffordern. DoctorAntivirus hat beispielsweise 40 Backdoors, Trojaner und Spyware-Programme gefunden und warnt davor, dass diese Schädlinge zu verschiedenen Systemausfällen führen können. SmartAntivirus2009 fand noch mehr Fehler auf dem Rechner und informiert ebenfalls über das Gefahrenpotential.


Abb. 4: Scan-Ergebnisse der falschen Antiviren-Programme
DoctorAntivirus 2008 (links) und Smart Antivirus 2009 (rechts)

Klickt man auf „Bedrohungen entfernen“ öffnet sich in beiden Fällen ein Fenster, in dem das gefälschte Produkt zum Kauf angeboten wird. Entschließt sich der Benutzer zum Kauf des „Antiviren-Programms“ werden ihm zahlreiche Zahlungsmöglichkeiten angeboten (PayPal, American Express usw.). Nach Zahlung des geforderten Betrags erhält der Anwender einen Registrierungscode. Damit er keinen Verdacht schöpft, erfolgt in beiden Fällen eine Codeüberprüfung, bei der keine beliebigen Daten eingegeben werden können.


Abb. 5: Aktivierungsaufforderung für FraudTool.Win32.DoctorAntivirus (links)
und FraudTool.Win32.SmartAntivirus 2009 (rechts)

Auffällig ist, dass das Aktivierungsfenster bei DoctorAntivirus und SmartAntivirus 2009 fast identisch ist. Dies lässt vermuten, dass die Hersteller solcher gefälschten Programme den selben Code verwenden. Es werden lediglich einige Zeilen im Aktivierungsfenster sowie dessen Aussehen geringfügig verändert, alles Weitere bleibt gleich.

In der Regel erfolgt die Zahlungsaufforderung unter dem Vorwand zur Aktivierung einer angeblichen Testversion (siehe Abbildung 6). Dem Nutzer wird zugesichert, dass er nach erfolgter Aktivierung ein angeblich qualitativ hochwertiges Produkt erhält und den entsprechenden technischen Support nutzen kann.


Abb. 6: Von FraudTool.Win32.AntiMalware2009 erzeugtes Fenster mit
Aufforderung zur Aktivierung des gefälschten Antiviren-Programms

Der Screenshot unten zeigt ein Fenster mit der Aufforderung zur Aktivierung des gefälschten Antiviren-Programm Smart-Anti-Spyware. Die kyrillische Schrift macht sehr schnell deutlich, dass das Produkt aus Russland stammt. Hierbei ist besonders interessant, dass die Zahlung per SMS an eine russische Kurzrufnummer erfolgt – eine bei russischen Cyberkriminellen sehr beliebte Methode.


Abb. 7: Aufforderung zur Aktivierung von Smart-Anti-Spyware

Umgehung der regulären Virenprogramme

Um echte Antiviren-Programme auf den Anwenderrechnern zu umgehen, verwenden Cyberkriminelle die gleichen Mechanismen, die üblicherweise bei vielen polymorphen Würmern und Viren verwendet werden. Hierbei wird durch Datenverschlüsselung der Baseline-Code verborgen, der in der Regel offene Zeilen und Verweise enthält. Damit das Programm funktioniert, wird in der Datei ein dynamischer Code abgelegt, der vor Ausführung der Hauptfunktion den Baseline-Code entschlüsselt. Auch FraudTool.Win32.MSAntivirus.cg und FraudTool.Win32.MSAntispyware2009.a funktionieren so. Zwar handelt es sich bei den Programmen um zwei unterschiedliche Familien, doch beide sind durch ähnliche polymorphe Verschlüsselung geschützt. Unten sind die Auszüge aus den Dateien beider Tools mit den dort enthaltenen Dekodierungen abgebildet (Abbildungen 8 und 9). Die Struktur der Dateien ist identisch.


Abb. 8: Auszug aus FraudTool.Win32.MSAntivirus.cg


Abb. 9: Auszug aus FraudTool.Win32.MSAntispyware2009.a

Durch die Verwendung bereits erstellter Produkte können zahlreiche gleichartige gefälschte Antivirus-Programme ohne großen Zeitaufwand hergestellt werden. Kein Wunder, dass diese Tools derzeit boomen. Der Code von Fraud Tools wird absichtlich immer komplizierter, um die Entdeckung durch echte Antiviren-Programme zu verhindern. Dadurch ist es fast unmöglich, falsche Antiviren-Programme mit Hilfe heuristische Techniken zu erkennen, die auf Verhaltensanalyse basieren. Dies hängt vor allem damit zusammen, dass es technisch sehr schwer ist, ein gefälschtes Programm, das sich in einem eigenen Fenster öffnet, von einer legitimen Anwendung zu unterscheiden. Sofern also die auszuführende Datei nicht gerade mit einem illegalen Packer gepackt wurde, kann man diese nur mit Hilfe einer manuellen Analyse erkennen. Das erschwert die automatische Erkennung neuer Versionen falscher Antiviren-Programme erheblich.

Eindrucksvolle Statistik

Die Anzahl gefälschter Antiviren-Programme ist seit dem Jahr 2007 stark gestiegen:


Abb. 10: Anzahl der neuen Signaturen zum Auffinden gefälschter
Antiviren-Programme seit 2007

Wie in Abbildung 10 zu sehen, wuchs die Zahl der Signaturen für gefälschte Antivirus-Programme in der ersten Hälfte des Jahres 2008 an, ging jedoch zum Jahresende hin wieder zurück. Im Mai 2009 folgte dann ein sehr steiler Anstieg der Signaturen.

Der erste Anstieg gefälschter Antiviren-Programme im vergangenen Jahr ist in erster Linie dadurch zu erklären, dass sie leicht herzustellen sind, die Verbreitung sehr gut funktioniert und die Fälschungen den Cyberkriminellen innerhalb kurzer Zeit hohe Gewinne einbringen.

Kaspersky Lab hat mittlerweile insgesamt 318 verschiedene Familien gefälschter Antiviren-Programme registriert. In der folgenden Tabelle sind die 20 bekanntesten Familien aufgeführt. Alleine auf die ersten fünf Familien entfallen 51,69 Prozent aller Signaturen zur Identifizierung von Fraud Tools.

Bezeichnung der Familie Anzahl der
Signaturen
not-a-virus:FraudTool.Win32.SpywareGuard2008 4652
not-a-virus:FraudTool.Win32.XPAntivirus 4519
not-a-virus:FraudTool.Win32.SystemSecurity 2090
not-a-virus:FraudTool.Win32.XpPoliceAntivirus 1950
not-a-virus:FraudTool.Win32.AwolaAntiSpyware 1370
not-a-virus:FraudTool.Win32.PC-AntiSpy 1356
not-a-virus:FraudTool.Win32.VirusIsolator 1134
not-a-virus:FraudTool.Win32.WinSpywareProtect 855
not-a-virus:FraudTool.Win32.SpyNoMore 758
not-a-virus:FraudTool.Win32.Agent 575
not-a-virus:FraudTool.Win32.AntivirusXPPro 434
not-a-virus:FraudTool.Win32.AntiVirusPro 374
not-a-virus:FraudTool.Win32.AntiSpyware 344
not-a-virus:FraudTool.Win32.AntivirusPlus 338
not-a-virus:FraudTool.Win32.SpywareStop 312
not-a-virus:FraudTool.Win32.WinAntiVirus 278
not-a-virus:FraudTool.Win32.Antivirus2009 227
not-a-virus:FraudTool.Win32.BachKhoa 224
not-a-virus:FraudTool.Win32.AdvancedAntivirus 223
not-a-virus:FraudTool.Win32.BestSeller 214
not-a-virus:FraudTool.Win32.AntiSpywareBot 206


Abb. 11: Anteil der neuen Signaturen zur Identifikation von Hoax
und Fraud Tools

Mittlerweile werden ständig neue gefälschte Antiviren-Programme entdeckt. Nahezu täglich spürt Kaspersky Lab 10 bis 20 neue Hoax- oder Fraud-Tool-Programme auf. Noch vor zwei oder drei Jahren tauchte nur alle zwei Tage ein derartiges Programm auf.

Wie kann man sich schützen?

Zwar richten die gefälschten Antiviren-Programme keinen Schaden auf dem Computer an, doch verhelfen Sie Cyber-Betrügern dazu, unerfahrenen Benutzern Geld abzunehmen. Um sich vor falschen Antivirus-Programmen zu schützen, sollte man einige einfache Regeln beachten:

Unbekannte Antivirus-Programme sollte man immer genau unter die Lupe nehmen, indem man überprüft, ob der technische Support und die offizielle Internetseite auch tatsächlich existieren. Ist dies nicht der Fall, handelt es sich um eine Fälschung.

Kein legales Antiviren-Programm führt einen Virenscan auf einem Rechner durch, um dann für eine Aktivierung Geld zu fordern. Zeigt ein unbekanntes Antivirus-Programm ein solches Verhalten, sollte der Anwender auf keinen Fall irgendwelche Nutzungsgebühren bezahlen! Ein reguläres Antiviren-Programm von einem bekannten Hersteller schützt Anwender immer noch am effektivsten vor Schadprogrammen.

Zudem sollten Anwender ausschließlich auf Meldungen des installierten (legalen) Antiviren-Programms reagieren. Willkürliche Benachrichtigungen über eine vermeintliche Infektion des Computers, auf die Nutzer eventuell beim Besuch bestimmter Internetseiten stoßen, sollte man komplett ignorieren. Niemals mit der Maus auf derartige plötzlich erscheinende Fenster klicken! Auch dann nicht, wenn diese den Browserschutz oder die auf dem Rechner laufende Security Suite umgangen haben.

Fazit

Bedauerlicherweise verbreiten sich gefälschte Antivirus-Programme in jüngster Zeit sehr stark. Es handelt sich dabei allerdings nicht mehr nur um einzelne Fälschungen, sondern es werden oft gleich massenweise neue Codes generiert. Derzeit erscheinen immer mehr gefälschte Antivirus-Programme, wobei die Verbreitungswege sowie die Methoden zur Umgehung legaler Antiviren-Programme immer weiter perfektioniert werden.

Man kann davon ausgehen, dass die gefälschten Antivirus-Programme in Zukunft die offiziellen Antiviren-Programme immer besser umgehen können. Die Anzahl der sich im Umlauf befindlichen Programme wird weiter ansteigen, genauso wie die Zahl der durch sie geschädigten Personen.

Die Tatsache, dass es immer mehr falsche Antiviren-Programme gibt, zeigt deren Wirkung bei den Anwendern. Je leichter der Nutzer in Panik gerät, desto wahrscheinlicher ist es, dass die Betrüger finanziellen Nutzen daraus ziehen können. Kaspersky Lab rät allen Anwendern, ein reguläres Antiviren-Programm auf dem Rechner zu installieren. Nur so ist man vor aktuellen Internetbedrohungen sicher.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.