{"id":211498,"date":"2018-11-08T08:29:43","date_gmt":"2018-11-08T07:29:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211498"},"modified":"2020-10-19T19:47:15","modified_gmt":"2020-10-19T17:47:15","slug":"achtung-fake-sites-pushen-notepad2-adware-bundle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/11\/08\/achtung-fake-sites-pushen-notepad2-adware-bundle\/","title":{"rendered":"Achtung: Fake-Sites pushen Notepad2-Adware-Bundle"},"content":{"rendered":"

Kurzer Hinweis, falls ihr zuf\u00e4llig auf der Suche nach einer Notepad-Alternative seid und \u00fcber das Programm Notepad2 nachdenkt. Es gibt Fake-Seiten, die den Editor mit einem Adware-Bundle bereitstellen.<\/p>\n

<\/p>\n

\"\"Aufgefallen ist die Lawrence Abrams von Bleeping Computer<\/a>. Er ist \u00fcber die Berichte zum Problem bei der Dateitypenregistrierung gestolpert (siehe meinen Blog-Beitrag Windows 10 V1803: Dateitypen-Zuordnung kaputt?<\/a>). F\u00fcr Tests wollte er sich den popul\u00e4ren Editor Notepad2 unter Windows 10 herunterladen. Gl\u00fccklicherweise hat er dies als Neuinstallation in einer virtuellen Maschine durchgef\u00fchrt. Dazu verwendete er den Edge Browser und suchte in Bing nach Notepad2.<\/p>\n

\"Suche
\n(Quelle: Bleeping Computer)<\/p>\n

Bereits der erste Treffer der Ergebnisse verwies auf eine 'offizielle Site' namens notepad2[.]com. Abrams w\u00e4hlt nat\u00fcrlich diesen Treffer, da er dachte, dass der Entwickler diese Domain f\u00fcr sich reserviert habe. Dabei wunderte er sich schon \u00fcber die Anzeige der Logos auf der Seite.<\/p>\n

Er schreibt, dass die offizielle Domain [f\u00fcr den Download u.a.] flos-freeware[.]ch sei. Diese URL wird mir bei der Suche mit Google ebenfalls als erster Treffer angeboten. Der zweite Treffer f\u00fchrt dann auf notepad2[.]com (siehe folgender Screenshot). Die offizielle Notepad2-Seite<\/a> liegt auf SourceForge.net und das Paket wird als ZIP-Datei angeboten. Auch auf\u00a0flos-freeware[.]ch findet sich der Editor (siehe auch nachfolgenden Kommentar).<\/p><\/blockquote>\n

\"Google-Treffer<\/em><\/p>\n

Als Abrams dann versuchte, die Programmdatei mit dem Installer von dieser Seite zu laden, schlug ESET Alarm und blockierte den Download.<\/p>\n

\"ESET
\n(Quelle: Bleeping Computer)<\/p>\n

Eine Inspektion der Installer-Datei Notepad2-x64_1746715231.exe <\/em>auf VirusTotal<\/a> ergab dann, dass 18 von 67 Virenscannern Alarm schlugen. Das Programm ist quasi ein Downloader, der dann versucht, Adware auf das System des Nutzers zu installieren. Nachfolgender Screenshot zeigt die Meldung des Download-Manager.<\/p>\n

\"Notepad2.com
\n(Quelle: Bleeping Computer)<\/p>\n

Wer auf Weiter<\/em> klickt, dem werden verschiedene ADware-Angebote angezeigt. Auf der Windows 10 Maschine wurde Abrams Opera und auf einer Any.Run-Installation das Spiel War Thunder angeboten. ISt die Installation der Adware-Angebote abgeschlossen, l\u00e4dt der Downloader noch eine gezippte Kopie von Notepad2 herunter und speichert diese im Ordner Downloads<\/em>. Und die Quintessenz: Immer zwei Mal schauen und Software nur von den offiziellen Seiten des Entwicklers herunterladen.<\/p>\n

Anmerkung: Doof ist, dass der Editor inzwischen wohl auf SourceForge als auch auf der Seite flos-freeware[.]ch angeboten wird. F\u00fchrt imho eher zur Verwirrung, wie nachfolgender Kommentar mal wieder zeigt.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Kurzer Hinweis, falls ihr zuf\u00e4llig auf der Suche nach einer Notepad-Alternative seid und \u00fcber das Programm Notepad2 nachdenkt. Es gibt Fake-Seiten, die den Editor mit einem Adware-Bundle bereitstellen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3637,4328],"class_list":["post-211498","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-adware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211498","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211498"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211498\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211498"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211498"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211498"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}