Warnung vor java.install.org

javaHeute möchte ich vor einer obskuren Website warnen, die dem Benutzer ein veraltetes JAVA-Paket vorgaukelt und ein JAVA-Update vorschlägt. Hat mich vor ein paar Tagen selbst getroffen und ich habe dann ein wenig recherchiert. Hier die Geschichte.


Anzeige


Wer JAVA verwenden muss (ich brauche es für den Android SDK), sollte diese Umgebung aktuell halten, um bekannte Sicherheitslücken zu schließen. Am Artikelende findet ihr einige Links zu Blog-Beiträgen, die sich mit diesem Thema auseinander setzen. Der Zwang zum JAVA-Update wird aber auch von obskuren Websites ausgenutzt, die u.U. zwielichtige Motive verfolgen.

Ups, mein JAVA soll veraltet sein?

Das Ganze hat mich ziemlich unverhofft getroffen. Ich war gerade im Chrome Browser (portable Version) unterwegs, um etwas zu einem Problem in den Microsoft Answers-Foren zu recherchieren. Und plötzlich öffnete sich beim Anklicken eines Google-Suchtreffers ein Popup mit folgendem Inhalt im Chrome-Browser.

Die Website www. javainstall.org meldete, dass die derzeit installierte JAVA-Version veraltet sei und ein Sicherheitsrisiko bestünde. Ich wurde aufgefordert, jetzt zu aktualisieren – was mich sofort stutzig machte.

  • Denn erstens ist bei mir der JAVA-Updater von Oracle aktiv, der mich über anstehende Sicherheits-Updates informiert. Zudem habe ich ein Auge auf JAVA und dessen Sicherheitslücken – da ich auch hier im Blog drüber berichte. JAVA war also aktuell.
  • Zweiter Punkt: Es ist immer verdächtig, wenn eine Website, die nicht von Oracle gehostet wird, mir ein JAVA-Update vorschlägt. Da werde ich sofort misstrauisch.
  • Dritter Punkt: JAVA ist bei mir für Browser deaktiviert. Zudem stand das Popup-Fenster pertinent im Vordergrund – ich konnte zu keinem anderen Registerreiter mehr wechseln und die Schließen-Schaltfläche in der rechten oberen Ecke des Popup war funktionslos. Auch die Schließen-Schaltfläche des Browserfensters reagierte nicht – es wäre nur die OK-Schaltfläche geblieben, was sofort alle Alarmglocken läuten ließ.

Ich habe dann auf die Schnelle noch einen Screenshot des Fensters angefertigt (Taskwechsel gingen noch) und dann den Chrome-Browser über den Windows Task-Manager beendet.


Anzeige

Was steckt hinter www. javainstall.org?

Wegen des Browser-Abbruchs weiß ich nicht mehr, welche Website ich über eine Google-Suchanfrage geöffnet hatte – ist auch nicht relevant. Als nächstes begann ich dann zur obigen Domain zu recherchieren und erlebte mein blaues Wunder.

  • Die Website webutations.net meldete javainstall.org als 100% sicher – weder Google Safebrowsing noch Website Antivirus noch Norton Safeweb fanden etwas.
  • Auch die Website onlinelinkscan.com meldete keine Bedrohung – also alles im grünen Bereich?

Merkwürdig fand ich allerdings, dass ich im Browser die Site javainstall.org nicht aufrufen konnte. Im Browser wird mir die folgende Meldung angezeigt, wenn ich die Domain aufrufen will:

Jeglicher Zugriff im Browser wird vom Server verweigert. Soviel zur Zuverlässigkeit der beiden oben angegebenen Website-Checker. Die werden auf der Site schlicht durch Code, die einen Bot erkennt, ausgebremst. Dann habe ich die Webseite sitecheck.sucuri.net mit der betreffenden URL aufgerufen und erhielt folgende Anzeige.

Diesen Anbieter verwende ich ebenfalls, um meinen Blog gelegentlich zu prüfen. Und dort war die Site "blacklisted", allerdings wurde keine Malware identifiziert. Da kamen wir der Sache schon näher, denn die Einstufung deckte sich mit meinem Bauchgefühl, welches sich aus dem Verhalten der Site im Browser ergab. Eine weitere Recherche förderte dann die Links [2 bis 9] (und weitere) zum Vorschein, wobei die Seite unter [9] die betreffende Seite mit dem "JAVA-Download-Angebot von javainstall.org" sowie den risikolosen JAVA-Update-Prozess gut beschreibt.

Ergebnis meiner Recherchen ist, dass einige Nutzer die Seite als Malware-Schleuder einstufen – manche Quellen (z.B. hier und hier) sprechen sogar von einem Virus. Bei einigen Firefox-Nutzern hat sich bereits vorher eine Malware eingenistet, die einen Browser-Tab mit der Aufforderung zum JAVA-Update anzeigt. Für meinen Fall war es so, dass der Spuk nach dem Abbrechen des Google Chrome-Browsers vorbei war. Wie dem auch sei, zumindest ist das Verhalten recht auffällig und es steht zu vermuten, dass dort ein "Beifang" (Virenscanner, Toolbar etc.) mit installiert wird.

Recherchen führen nicht wirklich weiter

Ich habe dann noch versucht, ein wenig zu recherchieren – bin aber nicht so richtig weiter gehkommen. Die Site whois.net weist die Domain javainstall.org als registriert am 26. Juli 2013 aus, wobei das letzte Update am 07. November 2013 erfolgte. Gesponsort wird das Ganze von Registrar GoDaddy.com, Besitzer ist ein James Stern (es gab einen 1993 verstorbenen Schriftsteller gleichen Namens), der in Alexandria, Virginia, USA, wohnen soll. Ich gehe aber mal davon aus, dass der Name ein Fake ist.

Was sehr negativ aufstößt: Bei websitequery.com rangiert die Site javainstall.org bereits 156 Tage nach dem Aufsetzen auf dem Alexa Rank 6567 (nur der Google Page Rank liegt bei 0). Und die Site webvalued.com gibt den Wert der Domain javainstall.org mit $ 1,323 Millionen US $ an. So viel also zu Alexa Rank und Wert einer Domain. Vermutlich hat der Besitzer der Domain da irgend ein obskures Geschäftsmodell aufgesetzt, bei dem er über die Downloads der vorgeblichen JAVA-Updates verdient. Auffällig ist auch, dass die Meldungen zur Site erst seit Oktober 2013 im Web zunehmen. Als Fazit bleibt mir nur: Finger weg von dieser Website – und JAVA-Updates macht ihr weiter von der unter [1] genannten Oracle-Seite.

Nachtrag: Auch bei Oracle muss man aufpassen

Noch ein kleiner Hinweis zum "Java von der Oracle-Webseite tanken": Leider gibt es auch da den Effekt, dass man sich im Web-Installer, der normalerweise zum Installieren von Java angeboten wird, Beifänge der Art "unerwünschter McAfee Virenscanner" oder "Google Toolbar" etc. einfängt (siehe [a7]). Man muss also in den Dialogfeldern des Installers darauf achten, die Markierung der Kontrollkästchen solcher "Beigaben" beim Installationsvorgang zu löschen.

Mein Tipp: Da ich von Webinstallern eher genervt bin, suche ich mir seit Jahren auf der Oracle Seite den Link "Alle Java Downloads" und lade mir den Full-Installer für 32- und 64 Bit herunter. Diese .exe-Dateien werden dann unter Windows 7 ausgeführt und aktualisieren meine JAVA-Version zuverlässig. Das hat nicht nur den Vorteil, dass bisher keine Beifänge angeboten wurden und so unerwünscht auf dem Rechner landen. Auch bei der Aktualisierung auf mehreren Rechnern brauchen keine weiteren Downloads mehr ausgeführt zu werden. Denn das Gebot der Datensparsamkeit wird ja inzwischen von jedem Fuzzi ignoriert – alles muss aus der Cloud installiert, synchronisiert und nachgeladen werden (hier ist ein ganz lesenswerter Beitrag, der mir aus der Seele spricht). Hirnrissiger geht's (n)immer.

Ähnliche Artikel
a1: Java im Browser deaktivieren
a2: Nachtrag: Java-Sicherheits-Update verfügbar
a3: Oracle veröffentlicht JAVA Version 7 Update 40
a4: Neues Java-Sicherheitsupdate
a5: Die Krux mit Java
a6: JAVA: Schon wieder eine Sicherheitslücke …
a7: Java-Update, Löcher und Ärger ohne Ende
a8: Sicherheitslücke bei Java 7

Links
1: Java-Download-Seite von Oracle
2: Some shit keeps tellling me I have an old java version… I should go to javainstall.org
3: Firefox öffnet selbstständig "Werbe-Tabs"
4: www.javainstall.org is taking over a tab on Firefox, uninvited
5: +++ ACHTUNG +++ EILMELDUNG :( JAVA-UPDATE :( FINGER WEG!!! +++
6: Java.. hilfe.. es geht nicht weg?
7: Warning – Fake Java update site
8: Java update, not sure if legit
9: JAVA update? Not from THIS source!


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Warnung vor java.install.org

  1. Christian sagt:

    Zusätzlich zu den Offlineversionen des Installers nutze ich außerdem folgenden Registry-Eintrag welcher verhindert, dass, im Falle einer versehentlichen Onlineinstallation oder eines Auto-Updates, die Ask-Toolbar-Installation garnicht erst erscheint.

    ——————————————————
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
    "SPONSORS"="DISABLE"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft]
    "SPONSORS"="DISABLE"

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.