{"id":285328,"date":"2023-08-27T00:01:00","date_gmt":"2023-08-26T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285328"},"modified":"2024-02-19T17:30:51","modified_gmt":"2024-02-19T16:30:51","slug":"edge-116-obskure-dateien-bgaupdate-exe-und-bgaupsell-exe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/27\/edge-116-obskure-dateien-bgaupdate-exe-und-bgaupsell-exe\/","title":{"rendered":"Edge 116: Obskure Dateien bgaupdate.exe und bgaupsell.exe"},"content":{"rendered":"

\"Edge\"[English<\/a>]Beim Microsoft Edge-Browser werden seit geraumer Zeit die obskuren Dateien bgaupdate.exe und bgaupsell.exe mit installiert. Waren diese bisher noch nicht funktional, scheint sich mit dem Edge 116 was ge\u00e4ndert zu haben. Von Bloat- und Malware ist in Hinweisen von Lesern die Rede. Ich versuche mal die Informationen zusammen zu tragen, die mir diesbez\u00fcglich vorliegen.<\/p>\n

<\/p>\n

Eine erste Lesermeldung<\/h2>\n

\"\"Das Thema wurde die letzten Tage von meinen Lesern an mich heran getragen. In diesem Kommentar<\/a> hat mich Blog-Leser Thorky diesbez\u00fcglich informiert und schrieb:<\/p>\n

Seit dem Update auf die 116 w\u00fcnscht Edge pl\u00f6tzlich die Freigabe zweier Dateien in der Firewall, bgaupdate.exe<\/em> und bgaupsell.exe<\/em>:<\/p><\/blockquote>\n

<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Ich habe die Dateien bei VirusTotal hochgeladen, dort sind sie ohne Malwarebefund. Aber welche Aufgaben haben sie?<\/p><\/blockquote>\n

Ich hatte bereits kurz geantwortet<\/a>, bgaupdate.exe<\/em> geh\u00f6rt wohl zum \"Microsoft Bing Service 2.0\", war bisher aber funktionslos (siehe auch den Beitrag bei Computerbase<\/a>). Der Dienst sorgt wohl daf\u00fcr, dass die Leute auch ihre Bing-Hintergrundbilder bekommen, wird spekuliert (sieh diesen Artike<\/a>l bei deskmodder.de). Bei bgaupsell.exe<\/em> schreiben einige Nutzer, dass es Malware sei. Sp\u00e4ter schrieb Thorky noch:<\/p>\n

Beide Dateien wurden nahezu zum gleichen Zeitpunkt gespeichert. Mittlerweile ist die bgaupdate.exe<\/em> ohne mein Zutun verschwunden. Die bgaupsell.exe<\/em> wurde ich erst los, als ich sie an ThisIsMyFile schickte. Der Prozess musste erst beendet werden.<\/p>\n

Mein Eindruck: Sie stammt auch von Microsoft. Es w\u00e4re doch ein betr\u00e4chtlicher Zufall, wenn sich binnen weniger Minuten zwei Dateien fast identischen Namens bei der Firewall anmelden, aber nur eine davon koscher ist.<\/p>\n

Erstaunlich ja auch, dass es diese Datei(en) bereits ein Jahr gibt, sie sich aber gestern erstmals bei mir aktiv meldeten. Da sie sofort blockiert wurden, hatten sie keine Internetverbindung.<\/p><\/blockquote>\n

Um dann noch zu erg\u00e4nzen: Mittlerweile gibt's ein neues Edge-Update, es wurden bislang aber keine Nachfolgerdateien installiert.<\/em><\/p>\n

Eine weitere Lesermeldung<\/h2>\n

Zudem hat mich Fabio aus der Schweiz einige Stunden sp\u00e4ter per Mail kontaktiert, weil er sich ebenfalls \u00fcber die Dateien wunderte\u00a0 und schrieb:<\/p>\n

BGAUpsell.exe<\/em> neu seit heute auf meinem System gekommen.<\/p>\n

Hast du von so was schon gelesen?<\/p>\n

Sagt dir das was? BingUpdate Zeugs? Komisch dass es an eine IP geht die Malicious ist wenn man da rumklickt.<\/p>\n

Bemerkt habe ich es wegen Glasswire.com<\/em> Software:<\/p><\/blockquote>\n

<\/a>
\nZum Verg\u00f6\u00dfern klicken<\/a><\/p>\n

Fabio hatte mir\u00a0 noch obigen Screenshot zukommen lassen, das die erste Netzwerkaktivit\u00e4t zeigt. Zudem hat er die Datei auf hybrid-analysis.com<\/a> sowie Virustotal<\/a> pr\u00fcfen lassen. Dort kommt dann der Hinweis, dass es sich m\u00f6glicherweise um Spyware handelt, bzw. dass die Datei sch\u00e4dlich (malicious) sei, wobei die Wahrscheinlichkeit nicht sehr hoch angegeben ist (ein Scanner von 70 auf Virustotal). Speziell die Ausf\u00fchrungen bei der verlinkten Seite hybrid-analysis sind lesenswert.<\/p>\n

Mehr Licht in der Angelegenheit<\/h2>\n

Eine weitere Spur gab es zum 25. August 2023 von HugBunter0815 in diesem Kommentar<\/a>, wo dieser einerseits folgendes schrieb:<\/p>\n

Naja, Microsoft k\u00e4mpft gerade auch wieder aktiv gegen Chrome, diesmal auch mit eigener Adware [\u2026] Ist heute bei mir selbst aufgetaucht, [\u2026]<\/p><\/blockquote>\n

sowie einige Links postete (siehe folgende Hinweise) und auf ein entsprechendes YouTube-Video verwies. Die Datei BGAUPsell.exe<\/em> geh\u00f6re zum \"Microsoft Bing 2.0 Service\", werde f\u00fcr Windows 10 und 11 ausgerollt und solle die Sicherheit von Bing erh\u00f6hen, weil er dieses f\u00fcr SHA 2.0 ert\u00fcchtige, hei\u00dft es im Video. Zudem zeigte das Modul Benachrichtigungen (zu Bing oder zum AI powered Bing) im Chrome an. nutze die Microsoft API und fungiere als Sicherheitsupdate f\u00fcr Bing.<\/p>\n

Funde im Internet<\/h2>\n

\u00dcber den Kommentar von HugBunter0815<\/a> samt den Links und eigenen Recherchen bin ich dann noch auf Fundstellen im Internet gesto\u00dfen, wo das Thema angesprochen wird.<\/p>\n

Diskussion auf reddit.com<\/h3>\n

Eine weitere Meldung sich auf reddit.com<\/a> beschreibt, dass sich die Firewall des betreffenden Mitte August 2023 pl\u00f6tzlich mit BGAUpdate.exe<\/em> gemeldet habe. Dort gibt es aber keine weitere Erkenntnis.<\/p>\n

HugBunter0815 verwies in seinem Kommentar auf den reddit.com Post BGAUpsell – what is this bing popup?, wo folgendes Popup gezeigt wurde:<\/p>\n

\"BGAUpsell<\/p>\n

Es ist also das Popup, welches angezeigt wird, um Bing als Suchmaschine in Windows einzurichten \u2013 das typische nerv Popup von Microsoft \u2013 die Klassifizierung als Adware oder Malware ist also gerechtfertigt.<\/p>\n

Dieser deutschsprachige reddit.com Post<\/a> thematisiert das Programm ebenfalls. Im Microsoft Answers-Forum<\/a> fragt jemand bereits im April 2023, wie er die Datei los wird. Man sollte davon ausgehen, dass diese immer wieder per Update (mit Edge) auf die Systeme mit Windows 10\/11 kommt.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Beim Microsoft Edge-Browser werden seit geraumer Zeit die obskuren Dateien bgaupdate.exe und bgaupsell.exe mit installiert. Waren diese bisher noch nicht funktional, scheint sich mit dem Edge 116 was ge\u00e4ndert zu haben. Von Bloat- und Malware ist in Hinweisen von Lesern … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461],"tags":[4201],"class_list":["post-285328","post","type-post","status-publish","format-standard","hentry","category-edge","tag-edge"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285328"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285328\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}