Da in letzter Zeit in meinem Arbeitsumfeld mehrere Computerbenutzer mit Malware und PUP (potentially unwanted programs) konfrontiert worden sind, habe ich ein Experiment durchgeführt, das zeigt, was bei unvorsichtigem Download von Gratisprogrammen aus dem Internet geschieht. Zu Testzwecken habe ich auf einem soeben mit Windows 8.1 neu aufgesetzten Computer mit minimaler Softwareausstattung im Internet (Firefox-Browser) nach einer Software zum Abspielen von Flash-Videodateien gesucht. In der Google-Liste der Suchresultate habe ich den FLV-Player gefunden, für den Download die Adresse http://flv-player.softonic.de/ ausgewählt und den Download gestartet.
Die Installationsprozedur installiert zuerst den Softonic-Downloader. Ich akzeptiere die Lizenzbedingungen und wähle die Schnellinstallation. Nach abgeschlossener Installation des FLV-Players mit den Default-Einstellungen habe ich ungefragt sechs neue Programme installiert bekommen, wie aus den ebenfalls ungefragt erstellten Verknüpfungen auf dem Desktop ersichtlich ist [Bild 1]. Diese haben originelle Namen wie SLOW-PC fighter oder FULL-DISK fighter.
Bereits in den ersten 5 Minuten nach der Installation beginnen die ungewollt installierten Programme sich bemerkbar zu machen; der SLOW-PC fighter poppt auf, und der Smart PC-Cleaner meldet bereits mehrere Schädlinge. Auch SpeedTest ist permanent in Aktion. Die Popup-Fenster und Warnmeldungen dieser Programme suggerieren alle, dass mehrere Malware-Probleme bestehen, möchten dem User helfen und empfehlen den Download und die Installation der kostenpflichtigen Versionen.
Nach einem Neustart des Computers werden zuerst – bevor ich als User überhaupt irgendwelche Aktionen starten kann – der FULL-DISK fighter und der obligate Smart PC-Cleaner gestartet, die mit grossen Warnhinweisen auf die Unzulänglichkeiten hinweisen. Smart PC Cleaner z.B. findet 995 schädliche Items [Bild 2].
Um den mysteriösen Vorgängen auf die Spur zu kommen, installiere ich die (Gratis)programme „Should I remove it“ [SIRI] und „Malwarebytes Anti-Malware“ [MBAM]. SIRI findet das Programm Driver Genius, das als Malware bezeichnet wird, und klassiert die übrigen oben erwähnten als Adware. MBAM findet 8 infizierte Objekte, die als PUP klassifiziert sind [Anmerkung].
Nach einem Tag und einigen Neustarts des Computers findet MBAM ca. 60 infizierte Objekte (PUP, Registrierungsschlüssel, Verzeichnisse und Files, die grösstenteils von SpeedAnalysis stammen). Da ich nun langsam genug habe, entferne ich die von Softonic installierten Programme und lösche die von Malwarebytes angemahnten PUP-Objekte. Kurz darauf meldet der serienmässig im Hintergrund laufende Windows Defender einen als gefährlich eingestuften Trojaner: TrojanDownloader:Win32/Brantall [TDB] im File C:\Users\xxx\AppData\Local\Temp\SpeedAnalysisSetup.exe
[Anmerkung] – Natürlich ist diese Empfehlung subjektiv. Leider steht jeder Download von Gratissoftware aus dem Internet unter dem Generalverdacht, Malware oder mindestens lästige Adware einzuschleppen.
[SIRI] – http://www.shouldiremoveit.com/
[MBAM] – http://de.malwarebytes.org/products/malwarebytes_free
[TDB] – http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader:Win32/Brantall.D#tab=1
Nachtrag 1 Woche später: Mit Hilfe der oben erwähnten Programme „Should I remove it?“ und „Malwarebytes“ (Gratisversion) und dem Windows Defender liessen sich alle unerwünschten Programme problemlos vom Computer entfernen.