Scareware benutzt spezielle Version von ClamWin

Beim monatlichen Patch Day aktualisiert Microsoft regelmäßig auch sein "Windows-Tool zum Entfernen bösartiger Software". Seit dem 11. August stellt der Hersteller die Version 2.13 bereit, die nun auch betrügerische Schutzprogramme aus der Familie "Win32/FakeRean" erkennen und entfernen soll. Diese so genannte Scareware zeigt vorgebliche Malware-Funde an und benutzt dazu eine spezielle Version von ClamWin mit präparierten Signaturen.

Hamish O'Dea berichtet im Blog des Microsoft Malware Protection Center über diese Schädlingsfamilie. Sie unterscheidet sich oberflächlich erstmal nicht von anderen Scareware-Programmen. Sie wird derzeit unter Namen wie "Home Antivirus 2010" oder "PC Antispyware 2010" angeboten. Die Arbeitsweise des Programms ist jedoch durchaus bemerkenswert, da die Programmierer unnötig erscheinenden Aufwand betreiben, um absichtlich falsche Warnmeldungen über vorgeblich auf dem Rechner gefundene Malware zu produzieren.

Während die meisten Scareware-Programme einfach sinnfreie Festplattenzugriffe produzieren, um einen Viren-Scan vorzutäuschen, bringt FakeRean dazu den Open Source Virenscanner ClamWin mit. Dessen Virensignaturen sind allerdings so manipuliert, dass sie nur den Datenmüll erkennen, den die Scareware zu diesem Zweck auf der Festplatte anlegt.

Mit anderen Worten: PC Antispyware 2010 legt zunächst eine Reihe von harmlosen Dateien an, die weder ausführbar sind noch verwertbare Daten enthalten. Sie sind jedoch so aufgebaut, dass der mit passenden Signaturen ausgerüstete Virenscanner darin vermeintliche Schädlinge entdeckt.

Diese falschen Befunde benutzt das Programm, um dem Benutzer vorzugaukeln, sein Rechner sei infiziert. Er wird dann genötigt eine Vollversion des Programms zu kaufen, die auch nicht mehr echte Schädlinge erkennen kann. Dafür gibt der Betrogene jedoch bis zu 50 US-Dollar aus und noch dazu seine Kreditkartendaten in die Hände von Online-Kriminellen.