SpyWare-Beifang dank "CHIP"

<Sarkasmus> Vielen Dank </Sarkasmus>an die Macher der Webseite von CHIP für die zwei Stunden "PC-Rettung" am Freitag Nachmittag. Wie viel "Arbeitszeit" geht in Deutschland auf SpyWare noch drauf?

Mit Applocker wäre das nicht passiert.

Nur SpyWare/ADWare oder doch ein Trojaner oder Locky ?

Angefangen hat es mit einem Anruf bei der Hotline eines Anwenders, der nicht wusste, was gerade auf seinem PC passiert ist. Dort war folgendes Bild zu sehen:

Beim ersten Blick könnte man vermuten, dass es eine neue Variante eines Verschlüsselungstrojaners ist. Aber schnell wurde klar, dass dies hier nicht zutrifft. Die wollen ja Geld per Bitcoin o.ä., sehen aber erwarten sicher nicht einen Telefonanruf. Aber sollte das wirklich eine deutsche 0800-Rufnummer sein? Da bin ich doch mal neugierig, wer sich da meldet. An der Grammatik sollten die Entwickler dieser Software auf jeden Fall noch etwas feilen.

Die gemeldete Datei "LOGE32.EXE" hingegen ist in Büroumgebungen ein guter Bekannter, wer mit Produkten wie "Lexware Lohne und Gehalt" zu tun hat. Aber das Bild habe ich erst später gesehen und als erste "Schutzmaßnahme" wurde das Netzwerkkabel gezogen. Auf dass ein Crypto-Trojaner zumindest im LAN nicht mehr Schaden anrichten könnte.

Ursachenforschung

Dass es ein "bekannter Virus" sein könnte, ist zwar nie ganz auszuschließen, aber da die Anwender keine Admin-Rechte haben und auch sonst alle Geräte mit aktuellen Virenscannern versorgt sind, war meine erste Frage nach der Abtrennung des System vom Haus-LAN die Suche nach der Quelle der Infektion:

  • Mail
    Per E-Mail ist in der fraglichen Zeit keine Anlage rein gekommen. Das ist auch schon deswegen nicht einfach, da NoSpamProxy einen sehr guten Job macht.
  • Download
    Einen Blick in den Browser-Verlauf und die Rückfrage beim Anwender ergab eigentlich auch nichts, was mich aufhorchen ließe. Keine "ungewohnten" Webseiten, wo man sich vielleicht einen "DriveBy"-Download einfangen konnten. Flash war nicht installiert und Java halbwegs aktuell und im Browser waren keine heiklen AddOns aktiviert.
  • Dialog
    Im Gespräch mit dem Anwender ist aber dann auch das Wort "Teamviewer" gefallen. Und tatsächlich wurde dieser PC "fernbedient". Für eine Support-Session mit einem Systemhaus für die Buchhaltungssoftware wurde dem Supporter der Zugriff per Teamviewer gewährt.

Natürlich war ich erst einmal alarmiert, denn da gab es vor einigen Wochen die Meldung, dass darüber eine Infektion erfolgen könnte. Das war aber schnell eine Sackgasse, denn auf dem PC ist gar kein TeamViewer installiert gewesen. Also muss der der Anwender das Support-Modul sich erst besorgen. Im Browser-Verlauf war auch genau das zu sehen. Alarmiert hat mich hier aber die Quelle, die anhand des Browser-Verlaufs gefunden wurde:

Eine "Google-Suche" hat an der Farbe des Hyperlinks (Lila statt Blau) auch bestätigt, dass die Seite besucht wurde:

Der Anwender hat das Modul also nicht von der TeamViewer Seite geladen, sondern vermutlich über Google gesucht und ist bei einer alteingesessenen Computerzeitschrift gelandet. Auch das wäre so erst einmal nicht schlimm. Schließlich ist es gängiges Geschäftsmodell als Download-Quelle mit Werbung Geld zu verdienen. Selbst Heise ist sich ja nicht hierzu zu schade, verlinkt dann aber auf die Quelle oder stellt das Paket unverändert bereit.

Bei CHIP ist es dann doch etwas anders. Die Downloadseite zeigt neben der unkenntlich gemachten Werbung einen großen "Download-Button" (Violett gekennzeichnet)

Daneben gibt es klein als Text (und von mir Grün markiert) noch einen Link zu einer manuellen Installation. Der darauf klickt ist von den im Folgenden beschriebenen Effekten verschont, muss aber zwei weitere zwischengeschaltete Werbeseiten und Zwangspausen in Kauf nehmen.

Der vermeintlich leichte Weg

Wer hingegen auf den blauen "Download"-Button drückt kommt direkt zu Download... eines Installers, der aber gerade mal 1.,7 MB groß ist. Der normale Anwender sieht das natürlich nicht. Der Downloader ist sogar digital signiert, so dass Browser und Virenscanner erst mal vertrauen. In Wahrheit ist dies aber der CHIP-Installer, der am Ende die gewünschte Datei herunter lädt. Bis dahin ist es aber ein steiniger Weg. Zuerst gibt er aus meiner Sicht fälschlich vor, die Installation von Teamviewer zu starten. Korrekt wäre maximal von einem Download zu sprechen. Der Fachmann sieht aber schon, dass das nicht der "richtige Installer" ist.

Wie aber nicht anders zu erwarten, nutzt dieser Installer die Internetfähigkeit des PCs um Werbung und andere Dinge nachzuladen. Es wird recht geschickt die Installation nahegelegt. Die Auswahl des Produkts ändert sich übrigens mit jedem Start. Ein deutliches Zeichen, dass diese ebenfalls nicht im Installer enthalten sind. Zudem ist der Installer selbst ja digital signiert. Insofern konnte ich Installation der auf diesem PC letztlich gefundenen Spyware-Software selbst nicht fotografieren. Aber anscheinend gibt es eine ganze Menge von solchen "Hilfsprogrammen".

Interessant finde ich dabei, dass es anscheinend erlaubt ist, mit dem Logo von "Teamviewer" in der Zusammenstellung zu werben. Ich würde mir als Hersteller so eine Abwandlung verbitten. Die Aufmachung dieser und anderer Angebote dürfte absichtlich so ausgelegt sein, dass ein Computer-Anwender in die Falle tappt. Meine Erwartung wäre, dass ich beim Kick auf "Download Teamviewer" auch genau das bekomme. Wo kämen wir denn da hin, wenn ich an der Fleischtheke eine Wurst kaufe und mir dann aber noch andere Waren ungefragt in den Einkaufwagen gelegt werden, die ich erst wieder vor der Kasse aussortieren muss. Als wenn es damit noch nicht genug ist, kommt mit dem "Weiter" das nächste Angebot:

Als aufgeklärter Verbraucher muss ich das natürlich nicht anwählen. Ich kann aber auch gleich diese Lieferanten in Zukunft einfach meiden. Wenn Sie hier aber "Abbrechen" sagen, dann ist der Dialog erneut zweifelhaft:

Ich habe zu dem Zeitpunkt die Installation von Teamviewer noch nicht einmal gestartet geschweige denn die Installationsquellen herunter geladen. Vielleicht sollte ich einen Link zu dieser Seite als Feedback posten. Damit hat aus meiner Sicht diese Webseite jeglichen Anspruch auf Seriosität auf Dauer verspielt. Da ist wohl eine Filterregel zum Schutz der Mitarbeiter dringend angebracht.

Produktinstallation

Letztlich startet aber dann doch der Download des Produkts. Allerdings wird die Quelle dann nicht von der Teamviewer-Webseite, sondern von den CHIP-Seiten geladen. Interessant hierbei, das sich der Wrapper einer genaueren Analyse mit Fiddler entzieht. Es bricht beim Start mit einer nicht sagenden Fehlermeldung ab, wobei ich nicht weiter untersucht habe, ob das Absicht oder ein Fehler ist. Starte ich Fiddler erst nach dem Aufruf, funktioniert alles weiter aber der Download der eigentlichen Installationsquelle des Teamviewer erfolgt unter Umgehung des Proxy.

Insofern sieht man beim Start aber die Frage des Clients an einen zentralen Server, um von dort dann wohl den eigentlichen Download-Server. Das Geschäft mit dem Download-Helfer scheint sich also uz lohnen, wenn das Backend so ausgelegt wird.

Der Beifang

Im Browser-Verlauf habe ich aber direkt darauf noch zwei eindeutige URLs gefunden

Die Ziel-URLs habe ich hier absichtlich als nicht klickbares Image bereitgestellt:

Da war mir schon fast klar, dass das wieder mal ein "Beifang" war, den vermutlich die meisten "PC-Kundigen" zuhauf von den PCs der Familienmitgliedern und Nachbarn entfernen. Der erste Link bietet die Installation der Software an und wer in den Source-Code reinschaut, kann schön die JavaScript-Funktion sehen, um den "Download-Counter" lokal zu generieren. So belügt man heute also Verbraucher-. Und damit er nicht aus versehen zu schnell davon klickt, kommt folgende Meldung beim Verlassen der Seite

Der zweite Link geht auf eine deutsche Bestätigungsseite, die vermutlich vom Programm aufgerufen wird.

Nach Aussage des Anwender sind ihm aber beide Seiten "unbekannt". Ob Sie also "im Hintergrund" aufgerufen wurden oder als "Werbe-Popup" einfach weggeklickt wurden, ist so nicht mehr nachvollziehbar.  Wenn sich eine Firma aber mit einer eigens "deutschen Seite" an den hiesigen Markt wendet, dann fehlt mir zumindest ein Impressum.

Entfernung der SpyWare

In diesem Fall kann man sich zwar über den Zeitaufwand ärgern. Allerdings sollte man doch auch froh sein, das es wieder "nur" ein relativ ungefährlicher Beifang war, der sich sogar einfach über die Systemsteuerung wieder entfernen ließ. Solche "Hilfsprogramme" haben ja durchaus das Ziel, eben nicht als "Böse" eingestuft zu werden und sich genau an die Regeln zu halten. Es hätte ja auch ein bösartiger Virus oder ein Crypto Trojaner sein können. Insofern war dies mal wieder eine gute Gelegenheit, den Anwendern eine Auffrischung zum Thema "Download" zu geben.

Zusammenfassung

Die hier aufgefundene Situation kann und wird sicher in vielen Firmen und vor allem Privathaushalten immer wieder vorkommen, das Sie von jedem einfachen Anwender mit Internetzugriff herbei geführt werden kann. Auf der Suche nach sehr guten kommerzielle oder sogar kostenfreien Programmen mogeln sich immer wieder Webseiten in Suchergebnisse, die zwar am Ende das gewünschte Produkt installieren aber als Geschäftsmodell unerwünschten Beifang mit installieren. Man kann sich nun darüber streiten, ob sich die Anbieter auf die Dummheit oder Einfältigkeit der Anwender berufen können. In meinem Fall war es sicher nicht im Interesse des Anwenders und von den Kosten für die Firma ganz zu schweigen. Wer z.B. die Diskussion um die Werbeanzeigen, Werbeblocker und Aussperrversuche verfolgt.

Inwieweit man Chip hier einen Vorwurf machen kann, muss jeder selbst entscheiden. Zu meiner Schulzeit in den 80ern habe ich sicher die ein oder andere Ausgabe gelesen, neben Elrad (heute c't), Elektor, MC und anderen Zeitschriften. Aber Ich finde es bedenklich, dass Zeitschriften sich auf ein Niveau herab begeben und vermutlich wissentlich mit ihrem "Download Helper" den normalen Anwender andere Software unterschieben. Das ist zumindest ein ganz schlechter Stiel.

Das Verhalten der Software SecurePCCleaner ist allerdings nicht tolerierbar. Wen sich heute jemand in eine U-Bahn oder einen Flughafen stellen würde und ein "Auch hier könnte ein Anschlag passieren" ruft, dann bin ich sehr sicher, dass dies nicht ohne Folgen bleiben würde. Auf dem gleichen Niveau würde ich das Bild vom Anfang sehen, nur dass es hier direkt eine Einzelperson trifft aber mit entsprechender Verbreitung der Spyware und der Aufmachung könnte das auch mehr sein.

Weitere Links