Windows Notification Virenwarnung mit Edge

Was halten Sie von einer Meldung im Windows Message Center auf einem privat-PC, die auf einen Virenbefall hindeutet?. Im ersten Moment werden Sie sich auch erst mal erschrocken sein. So passierte es Anfang Jun 2023 auch in meinem Bekanntenkreis. Also habe ich mir die zugesendeten Bilder angeschaut und recht schnell erkannt, dass es ein Fake ist. Aber würde Sie dies auch so sehen?

Meldungen

Die Meldung erschienen rechts unten, wo auch das Windows Nachrichtencenter seine Meldungen regelmäßig platziert.

Die Meldungen sehen allesamt gefährlich aus und sehen zugegeben sehr professionell aus.

Analyse

Aber wenn Sie sich ein paar einfache Fragen stellen, dann können Sie sehr schnell die Bilder als Fake erkennen.

  • Unpassender Virencsanner
    In dem Beispiel wurde die Meldung mal für McAfee und für Avira gesendet. Auf dem betroffenen PC war aber keines der beiden Produkte installiert.
  • Quelle der Message "über Microsoft Edge"
    Auf jeder Nachricht steht, welches Programm diese Meldungen generiert hat. In allen vier Fällen war es "Microsoft Edge" und mitnichten ein lokal installierter Virenscanner
  • "Gefunden" ist nicht "abgewehrt"
    Die Zeiten, in denen ein Virenscanner eine Malware nur meldet statt direkt zu blockieren, sind eigentlich schon lange vorbei. Warum soll ich als Anwender aktiv werden und einen Scan starten, wenn er angeblich schon 3 Viren oder 6 Trojaner erkannt hat.
  • Deutsch -nicht schlecht aber doch mit Fehlern
    Auf der einen Seite ist es schon interessant, dass die Meldung auf deutsch erfolgte. Die Angreifer haben zumindest die Browser-Sprache ausgewertet und passende Texte hinterlegt. Der Plural von "Virus" ist aber "Viren" und nicht "Virus(en)" Aber das kann im Eifer des Gefechts auch mal gerne übersehen werden

Insofern also erst einmal Ruhe.

Wo kommt es her?

Sie können zwar die Meldung im Windows Message Center schließen, aber das hilft nur temporär. Natürlich kommt die Meldung immer wieder und da die Quell der "Edge" ist, können Sie natürlich den Edge-Browser schließen um die Meldung zu stoppen. Sobald Sie aber wieder den Edge-Browser starten, kommen die Meldungen wieder. Das ist gut und schlecht.

  • Gut
    weil in dem Fall vermutlich keine Malware oder eigenständiges Hintergrundprogamm auf dem PC installiert wurde.
  • Schlecht
    weil beim Anwender unter seinem Useraccount doch etwas läuft, was zumindest Meldungen produzieren kann

Meine erst Frage war da natürlich: "Was hast du installiert?". Im Verdacht sind insbesondere "kostenfreie" oder "angesagt" Programme. "There is no free lunch" ist ein beliebter Spruch, der letztlich bedeutet, dass Sie immer mit etwas "bezahlen". Wenn Sie keine direkte Zahlung leisten, dann kostet es eben ihre Zeit für Werbung, ihre Daten, ihre Rechenleitung, ihre Arbeitskraft oder andere Güter". Zwei Einfallstore sind dort geläufig:

  • Fancy Browser AddOns
    Es gibt viele "gute" AddOns, die z.B. Cookies blocken, AdWare blocken oder Kennworte speichern aber auch welche, die noch andere Dinge tun. Denn als AddOn läuft der Code im Browser und kann alles mitlesen, was sie sehen und auch Eingaben verändern.

Das ist ein Grund, warum ich für kritische Dinge wie z.B. Bankgeschäfts, Bestellungen, Buchungen einen stark reduzierten Browser nutze. Hier ist ja "Werbung" und andere Malware kaum ein Problem ,solange ich mich auf Seiten bewege, mit denen ich eine Geschäftsbeziehung habe und daher die andere Seite auch korrekt spielt.

  • Clone-Seiten von Freeware mit ungebetenen Gästen
    Die zweite Quelle sind Downloads von Programmen, die nicht nur die versprochene Funktion haben. Es gibt sehr viele gute und kostenfreie Programme, die auch ich nutze, z.B.: 7Zip, Notepad++, Fiddler, Tipp10, Audacity, OBS Studio, Wireshark u.a. Allerdings gibt es auch Seiten, die "sehr ähnlich" aussehen und den Sourcecode "anreichern" und mit einem sehr ähnlichen Namen verteilen. Als normaler Internet-Anwender ist es nicht immer einfach, die seriöse Quelle zu entdecken, da die Clone gerne auch Werbung schalten.
  • Download-Portals mit Mehrwert
    Dann gibt es bekannte Portale wie z.B. chip.de u.a., die nicht auf die originalen Quellen verweisen, sondern den Download von ihrer Seite, oft veraltet, bei sich anbieten. Nicht wenige packen aber die die eigentliche Software noch einmal in ihren eigenen Installer ein oder schalten eine "Downloader" davor, der gerne natürlich im "Interesse des Leser" redaktionell empfohlene "Zusatzprogramme" installiert.

    Einige Frage ja noch, ob sie das dürfen. Andere tun es im Hintergrund einfach so
    Schwerer zu umgehen sind aber Lücken in der Build-Pipeline, dass jemand unerwünschten Code in eine Software ohne Wissen der Entwickler einschleust. Dass kann direkt über eine Lücke beim kompilieren und paketieren der Software sein oder dass von der Software genutzte Bibliotheken korrumpiert wurden.
  • Freeware mit Werbung
    Leider gibt es auch das Geschäftsmodell, dass Hersteller ganz absichtlich eine Software für einen aktiv nachgefragtes Problem entwickeln lassen. Früher war das Software zum Mitschneiden von Audio-Übertragungen. Auch "YouTube-Downloader" werden genauso gerne gesucht und auch Android-Emulatoren für den PC, um Smartphone-Beschränkungen der Eltern zu umgehen, sind speziell für Kinder eine Tür zur Installation solcher "Lösungen"
  • Günstige Versionen und Key-Generatoren
    Früher war auch der Download von "Raubkopien" von kommerziellen Programmen oder die Nutzung von "Key-Generatoren" eine Einfallstür für unerwünschten Zusatzcode.

In dem Fall war es dann relativ einfach: Ein Blick in die "Systemsteuerung - Programme" lieferte schon die Information, dass hier jemand zwei "Android Emulatoren"  (GoToPlayer, LDPlayer) installiert hat, um eben Android-Apps auf einem Windows PC zu nutzen. Woher die nun gekommen sind, habe ich nicht weiter hinterfragt. Insofern weiß ich auch nicht, welcher der beiden Player nun Ursächlich war oder ob es sogar eine "abgewandelte Kopie" einer ganz eigenständigen Seite war.

Wir haben die beiden Programme deinstalliert und denn zusätzlich noch den Browser-Cache und Cookies komplett geleert und nach der nächsten Anmeldung und Start des Edge-Browsers hatte der spuk ein Ende

Wenn ich klicke?

Natürlich habe ich mir den Hyperlink angeschaut, der beim "Klick" auf die Nachricht geöffnet wird. Zu dem Zeitpunkt wurde die Url calikedatic.com referenziert, welcher natürlich Werbung zum Abschluss eines Softwarevertrags für einen Virenscanner angeboten hat.

Ob dann per Download wirklich ein Virenscanner als MSI/EXE-Datei geliefert worden wäre, habe ich nicht weiter untersucht. Letztlich ist so ein Vektor dann auch nichts mehr besonderes.

Edge Site Settings

Es muss nicht immer ein "AddOn" oder eine Software sein, die solche Meldungen auslöst. Im Microsoft Edge Browser können auch Webseiten bestimmte Rechte anfordern, z.B. Zugriff auf das Mikrofon, Kamera etc.

Location
Camera
Microphone
Motion or light sensors
Notifications
JavaScript
Images
Pop-ups and redirects
Intrusive ads
Background sync
Automatic downloads
MIDI devices
USB devices
Serial ports
File editing
Clipboard
Payment handlers
Insecure content
Virtual reality
Augmented reality
Your device use

 In den Einstellungen des Edge unter edge://settings/content können Sie die Berechtigungen pro Webseite steuern. Leider ist die UI aus meiner Sicht ungeschickt, da unten die "Defaults" stehen, dazwischen die drei letzten genutzten Seiten und nur oben unter "all sites" sich dann die komplette Liste öffnet.

In der Liste der Sites können Sie eine oder mehrere Sites nicht einfach löschen, sondern müssen in deren Einstellung gehen und dann die Konfiguration mit "Reset permissions" auf den Standard stellen, damit die Size dann verschwindet.

Das wäre sicher auch besser und einfacher gegangen. Die meisten Büro-Computern haben eh keinen Touchscreen.

Hinsichtlich der Benachrichtigungen würde ich auf die Standardeinstellungen der Notifications gehen. Hier können Sie ihren Default-Wert einstellen aber auch alle Sites mit Abweichungen sehen.

Das versöhnt dann wieder etwas, wenn Sie nur eine Einstellung bearbeiten wollen. Für Administratoren kann es interessant sein, diese Einstellungen z.B. per Intune vorzugeben:

Einschätzung

Wenn ein Anwender mit ausreichend Berechtigungen zum Download und Installation von Software nicht kontrolliert, woher er die Software bezieht, dann ist eine Werbung noch das geringste Übel und sollte eher als "Weiterbildung" verstanden werden. Der Schreckt saß zumindest und für einige Zeit sollte dies noch Nachwirken. Wenn man älter wird, dann kennen Vielfahrer den Effekt ja auch gerne mal von einer Tempokontrolle, landläufig als "Blitzer" bezeichnet, und die Auswirkung auf das Fahrverhalten.

Dennoch ist die Konzentration von Meldungen an einer zentralen Stelle in dem Fall auch ein Negativbeispiel. Anwender "vertrauen" den Meldungen im Windows Nachrichtencenter und rechnen vielleicht nicht damit, dass diese Meldungen einfach von einer Webseite ausgelöst werden können. Wobei laut Microsoft der Edge natürlich auch hier "rückfragt", ob eine Webseite denn Nachrichten senden darf. "Angeblich" konnte sich der Anwender an nichts erinnern. Ich habe dann nicht weiter hinterfragt.

Weitere Links