![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Ich habe das Thema ja bereits l\u00e4nger f\u00fcr das Wochenende auf dem Radar: Adware, Browser-Hijacker, Add-Ons und \u00e4hnliche Malware, die als Beifang mit Software auf den Rechner kommen und dann den Benutzer irritieren bis extrem nerven. Hier mal ein paar Infos zum Thema in einem 'kleinen' Blog-Beitrag zusammen getragen.<\/p>\n
<\/p>\n
Auch Oracles Java bringt schon mal den Mc Afee als Beifang mit. Hier habe ich<\/a> gerade gesehen, dass Avira die Ask-Toolbar mit installieren will. Generell scheinen die Anbieter von Gratis AntiVirus-Software gerne solche Browser-Toolbars mit in den Paketen auszurollen (besonders fies, wenn diese Beigaben dann Malware auf's System schleust, die nicht durch die gratis Antivirus-L\u00f6sung abgedeckt wird).<\/p>\n Als Anwender muss ich h\u00f6llisch aufpassen, dass ich mir das Kleingedruckte durchlesen und alles abw\u00e4hle, was nicht gewollt ist. Hier ein paar Blog-Beitr\u00e4ge zum Thema:<\/p>\n Neues Flash-Update bereitgestellt<\/a> Beim Sourceforge-Thema hat MVP-Kollege Martin Geu\u00df das sch\u00f6n im Beitrag SourceForge: Von der Open Source Basis zur Spamschleuder?<\/a> dargestellt. Die folgenden beiden Screenshots sind aus Martins Artikel.<\/p>\n Der Hintergrund \u2013 die Entwickler der Software brauchen Geld und finanzieren das Projekt mit solcher Huckepack-Software. Das ist sogar nachvollziehbar, auch hier im Blog schalte ich Werbeanzeigen, um ein paar Cents einzunehmen. Aber da sind Filter gesetzt, die bestimmte Themen, Anbieter oder Werbenetzwerke, die mir negativ aufgefallen sind, aussperren. Und es wird nichts installiert.<\/p>\n Bei Adware, die mit Software ungewollt auf dem System landet, ist das etwas anderes. Ein ungewollt installierter Mc Afee oder Google Chrome Browser ist nur \u00e4rgerlich. Kriminell wird es bei Adware-Addons als Beifang, die sich als Browser-Toolbars einnisten und dann dem Nutzer Werbung im Browser anzeigen. T\u00e4glich schlagen die Hilferufe von Anwendern hier ein, die sich beschweren, dass sich mit diesem Internet Explorer, dieses Firefox und was wei\u00df ich nicht mehr arbeiten lie\u00dfe. Hier mal zwei Artikel aus meinem Blog zum Thema:<\/p>\n Optimizer Pro und Omiga-Plus entfernen<\/a> Eines der Goodie ist ein nutzloser Optimizer, das andere ein Browser-Hijacker. Solange es als Option abw\u00e4hlbar ist, kann man noch diskutieren und m\u00f6glicherweise behaupten \"der Anwender ist schuld, soll er doch die Augen offen halten und nicht auf alles klicken, was bei 3 nicht vom Schirm verschwunden ist\". Aber es gibt Indizien, dass die Abwahl solcher Abzock AdWare nicht mehr m\u00f6glich ist und die Installation heimlich erfolgt.<\/p>\n Und es gibt nat\u00fcrlich die Webseiten, die auf das \"Fangen unbedarfter\" Benutzer ausgerichtet sind. Kleines Beispiel, auf das ich hier gesto\u00dfen<\/a> bin: Normalerweise w\u00fcrde ich bei der freien B\u00fcrosoftware immer nach LibreOffice suchen und dann die offizielle Webseite des Projekts zum Download verwenden (oder auf portable Varianten zur\u00fcckgreifen). Der normale Anwender, der nix mit diesem \"Windows Office\" am Hut hat, wei\u00df aus ComputerBild, dass es OpenOffice gibt. Eine Suche in Google.de nach \"OpenOffice\" liefert als ersten Treffer, die als Anzeige gekennzeichnete URL openoffice.pro.de.<\/em><\/p>\n Ist erst einmal nichts gegen zu sagen. Aber der Anwender ist in der Masse ein eigenwilliges Wesen \u2013 ich erinnere an meinen Artikel Facebook Wants to Be Your One True Login<\/a>, der den Punkt trifft. Klickt ein unbedarfter Anwender auf diesen Treffer, erscheint die nachfolgende Webseite mit dem OpenOffice-Angebot.<\/p>\n Sieht auch gut aus. Was ist falsch? Ich habe mal das Kleingedruckte unter dem Button \"Jetzt kostenlos downloaden\" in normalem Schriftgrad herausgezogen (siehe auch die Anmerkung hier<\/a>):<\/p>\n Mit Klick auf \"Download\" akzeptieren Sie die EULA<\/a>, Nutzungsbedingungen<\/a> und Datenschutzrichtlinien<\/a> von Pro.de. Die Software wird zu werbezwecken angeboten und kostenlose Zusatzprodukte k\u00f6nnen an den entsprechenden Stellen hinzu- oder abgew\u00e4hlt werden. Erfahren Sie hier<\/a> mehr den Produkten und zur Deinstallation.<\/a><\/p><\/blockquote>\n Der Anbieter l\u00e4sst sich juristisch die Gesch\u00e4ftsbedingungen abnicken. Netterweise wird sogar \u00fcber einen Link aufgelistet, was man sich<\/a> so auf's System holt und wie man das weg bekommt. So weit ist das ok, Ross und Reiter werden genannt. Wer sich aber mal die kleine Schrift, in dem der obige Text gestaltet ist, anschaut (in meinem Browser kann ich den Text nicht lesen), kann sich seine eigene Meinung bilden, ob die Sache nicht ein Geschm\u00e4ckle hat. Man sollte wohl auch diesen Artikel kennen<\/a>, wo sich u.a. folgendes Zitat findet:<\/p>\n \"Wir verdienen gutes Geld mit Werbung in und w\u00e4hrend des Download- und Installationsprozesses fremder Softwareprodukte.\"<\/em><\/p><\/blockquote>\n Zur\u00fcck zur Google-Suchseite mit den Treffern. Erst eine Zeile darunter folgt bei Google in der Trefferliste der offizielle Link www.openoffice.org\/de\/<\/a>. Die Webseite sieht so aus:<\/p>\n Und mal ganz ehrlich, wenn ich mir die beiden Webseiten so ansehe, empf\u00e4nde ich auf den ersten Blick das openoffice.pro.de<\/em> Angebot als das 'seri\u00f6sere'. Das LibreOffice-Angebot erscheint mir wie die Link-Farmen, die auf verwaisten Domains abgelegt werden \u2013 oder die als Ad-Farm mit vielen Begriffen gespickt sind, um Klicks zu provozieren.<\/p>\n Profis l\u00e4cheln vielleicht dar\u00fcber \u2013 aber Hand auf's Herz: die paar Cracks sind nix gegen das Herr unbedarfter Anwender, die die Zielgruppe f\u00fcr \"Malvertising\" darstellt.<\/p>\n Cisco ist \u00fcber Telemetriedaten vor einem Jahr ein Trend aufgefallen: Es verbreiten sich sch\u00e4dliche Browser Plug-Ins, die nach der Installation beim Abrufen von Webseiten ungewollte Werbung einblenden. Aus der folgenden, bei Cisco gezeigten Webseite:<\/p>\n (Original-Webseite; Quelle: Cisco<\/a>)<\/p>\n wird dann eine mit Werbung angereicherte Webseite, wie folgender Screenshot der gleichen Seite demonstriert.<\/p>\n (ge\u00e4nderte Webseite; Quelle: Cisco<\/a>)<\/p>\n Dabei kommt ein trickreiches Codegeflecht im Browser-Add-On zum Einsatz, um die Werbung, abh\u00e4ngig von den besuchten Webseiten einzublenden.<\/p>\n (Quelle: Cisco<\/a>)<\/p>\n Die Kommunikation der Malware-Add-ons wird dabei Base64-codiert verschleiert. Der Cisco-Bericht f\u00fchrt verschiedene Beispiele an. So werden an Hand h\u00e4ufig benutzter Suchw\u00f6rter auch schon mal automatisch Domains registriert.<\/p>\n Noch schlimmer: Es wird Malware nachgeladen und es werden Nutzerdaten gesammelt und \u00fcbertragen. Kritsch werden \u00fcbertragene Benutzerdaten, wenn aus Firmen Benutzernamen und E-Mail-Adressen darin auftauchen. Insgesamt handelt es sich um eine Familie von \u00fcber 4.000 Add-ons, die unter verschiedenen Namen daherkommen und in irgendwelcher Software oder in Bibliotheken stecken. Cisco hat die folgende Liste im Artikel als Ausschnitt publiziert.<\/p>\n (Quelle: Cisco<\/a>)<\/p>\n Heise.de erw\u00e4hnt in diesen lesenswerten Artikel<\/a> zum Thema explizit die MediaBuzz-Erweiterung (Browsererweiterung), die in einem Installer von Nullsoft<\/a> zu finden war. Hier findet sich ein Artikel<\/a> zum Entfernen von MediaBuzz (wobei man nur die Anleitung, nicht das Tool zur \u00dcberpr\u00fcfung verwenden sollte).\u00a0 Dabei geht die Adware trickreich vor und \u00fcberpr\u00fcft, ob der Browser in einer virtualisierten Umgebung l\u00e4uft oder nicht und aktiviert sich bei Bedarf.<\/p>\n Benutzer von Google Chrome erhalten bei der Installation solcher Add-on eine Warnung, wenn die Erweiterung nicht in einer Whitelist enthalten ist. Beim Firefox wird das Browser-Plug-in momentan dagegen noch klaglos installiert. Allerdings will Mozilla den Mechanismus demn\u00e4chst dahingehend \u00e4ndern<\/a>, dass nur noch signierte Extensions installiert werden k\u00f6nnen.<\/p>\n Cisco schreibt, dass die Identifizierung und Blockierung von Adware, Malware und Datentracking-Software einen Multi-Ger\u00e4te-Sicherheitsansatz erfordere. Die eigenen Produkte wie Advanced Malware Protection (AWS), Cisco Cloud Web Security (CWS) und Cisco Web Security Appliance (WSA) k\u00f6nnen passenderweise solche Malware erkennen.<\/p>\n Anwender, die betroffen sind, k\u00f6nnen eigentlich nur im Web recherchieren, wie sich die Adware\/Malware entfernen l\u00e4sst. H\u00e4ufig kann man mit durch gezieltes Vorgehen den Beifang los werden. Hier beschreibt<\/a> Christian Krause im heise.de-Forum seine Vorgehensweise. Vielfach kommt man auch mit dem Tool AdwCleaner weiter, den es auf der offiziellen Webseite<\/a> zum kostenlosen Download gibt. Eine Beschreibung findet sich z.B. hier bei heise.de<\/a>.<\/p>\n Damit m\u00f6chte ich den doch etwas l\u00e4nger gewordenen Beitrag f\u00fcr heute abschlie\u00dfen. Die Tage gibt es weitere Beitr\u00e4ge zum Thema. Abschlie\u00dfend die Frage: Wie sind eure Erfahrungen? Seit ihr schon mal betroffen gewesen? Wie habt ihr das Zeugs entfernt? Erg\u00e4nzungen, Erfahrungen, Anleitungen sind als Kommentare willkommen.<\/p>\n","protected":false},"excerpt":{"rendered":" Ich habe das Thema ja bereits l\u00e4nger f\u00fcr das Wochenende auf dem Radar: Adware, Browser-Hijacker, Add-Ons und \u00e4hnliche Malware, die als Beifang mit Software auf den Rechner kommen und dann den Benutzer irritieren bis extrem nerven. Hier mal ein paar … Weiterlesen Dem Anwender wird eine Gratis-Software angeboten, die im Beifang noch irgend etwas anderes installiert. Da kommt mit dem Adobe Flash Player<\/a> schon mal ein Chrome-Browser oder Mc Afee-Virenscanner mit (siehe folgende Screenshots).<\/p>\n
![\"\"](\"https:\/\/i.imgur.com\/u9XP7kB.jpg\")
<\/p>\n![\"\"](\"https:\/\/i.imgur.com\/3bArriR.jpg\")
<\/p>\n
\nObacht bei Sourceforge-Downloads<\/a><\/p>\n![](\"https:\/\/web.archive.org\/web\/20150912203823\/http:\/\/www.drwindows.de\/content\/attachments\/93686d1377679949-filezilla_0.png.html\")
\n(Quelle: Dr. Windows<\/a>)<\/p>\n![](\"https:\/\/web.archive.org\/web\/20150912203822\/http:\/\/www.drwindows.de\/content\/attachments\/93689d1377680293-filezilla_2.png.html\")
(Quelle: Dr. Windows<\/a>)<\/p>\n
\nGoogle-Suche wird im Browser umgeleitet<\/a><\/p>\nAuf unbedarfte Nutzer setzen \u2026<\/h2>\n
![\"OpenOffice](\"https:\/\/i.imgur.com\/NvKZesz.jpg\")
<\/p>\n![\"OpenOffice](\"https:\/\/i.imgur.com\/zyUd0nT.jpg\")
<\/p>\n![](\"https:\/\/i.imgur.com\/rcGeCTz.jpg\")
<\/p>\nCisco-Bericht zu \"Bad Browser-Plug-Ins als Malvertising, Malware & Co.\"<\/h3>\n
Google Chromes White-List \u2013 Firefox will nachbessern \u2026<\/h3>\n
Der 'Wei\u00dfe Ritter' Cisco<\/h3>\n
Hilfe, ich hab mir was gefangen \u2026<\/h3>\n