Scareware
Betrügerisches Defrag-Tool seziert
Online-Kriminelle, die ihr Geld mit betrügerischer Software verdienen, setzen neben vorgeblichen Antivirusprogrammen seit einiger Zeit auch auf falsche System-Tools. Die Familiensaga eines betrügerischen Defragmentierprogramms zeigt, dass hauptsächlich alter Wein in immer neue Schläuche umgefüllt wird.
Unter dem Begriff "Scareware" sind zunächst betrügerische Antivirus- und Antispyware-Programme zusammen gefasst worden. Sie nerven mit falschen Warnungen vor angeblich gefundenen Schädlingen und nötigen zum Kauf ebenso teurer wie nutzloser Vollversionen. Doch die Online-Kriminellen setzen vermehrt auch auf falsche Tools zur Systemoptimierung, die sie auf gleichem Wege verbreiten.
Dabei müssen die Programmierer im Grunde nicht viel am Code ändern, denn auch die vorgeblichen Defrag-Tools produzieren nur warme Luft. Sie leisten für den Anwender nichts, sie nerven nur. Um der Entdeckung durch richtige Antivirus-Software seriöser Anbieter zu entgehen, müssen die Scareware-Programme jedoch immer wieder neu verpackt werden. Dabei bekommen sie gleich noch einen neuen Namen aufs Etikett.
Microsofts Rex Plantado hat die Scareware-Familie "FakeSysdef" seziert und die Ergebnisse im Blog des Microsoft Malware Protection Center ausführlich dargestellt. Dazu gehört zunächst eine Liste mit über 40 Namen, unter denen FakeSysdef bereits verbreitet ist. Sie reicht von "Check Disk" über "Disk Optimizer" und "HDD Diagnostics" bis "WinScan".
Mit einen EXE-Packer, der auch bei anderer Scareware zum Einsatz kommt, wird das eigentliche Programm nicht nur komprimiert sondern auch verschlüsselt und vor der Laufzeitanalyse durch Antivirus-Software geschützt. In der neuesten Variante, Name: WinScan, ist die Oberfläche renoviert worden, die falschen Fehlermeldungen sind jedoch noch die gleichen. Statt eines an sich schon verdächtigen Malware-Packers kommt UPX zum Einsatz, ein seit vielen Jahren bekannter legitimer Vertreter der Gattung EXE-Packer.
WinScan erzeugt auf Basis von Informationen, die der Schädling der Windows-Registry entnimmt, ein schwarzes Hintergrundbild, das dem des Abgesicherten Modus ähnelt, den es vortäuschen soll. Die Scareware bringt allerlei alarmierende Fehlermeldungen hervor und blockiert das Ausführen anderer Programme. Damit wird der Benutzer genötigt die teure Vollversion zu kaufen, um seinen Rechner wieder benutzen zu können.
Der sinnvollere Weg ist jedoch den Rechner tatsächlich im Abgesicherten Modus zu starten und die DLL-Datei zu löschen, in der die Scareware steckt. Name und Pfad der DLL findet sich im Eintrag "AppSecDll" der Registry:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls
AppSecDll = "<DLL_PATH>"
AppSecDll = "<DLL_PATH>"
Auch das Hintergrundbild lässt sich entfernen: es steckt im TMP-Ordner als "wall.BMP" oder trägt einen zufälligen Namen sowie die Endung BMP. Um das Hintergrundbild ändern zu können, muss zunächst der Registry-Eintrag "NoChangingWallPaper" entfernt werden, den der Schädling angelegt hat.
Hinweise im Programm-Code der FakeSysdef-Scareware weisen darauf hin, dass die Online-Kriminellen, die mit Scareware viel Geld verdienen, einen Software-Baukasten einsetzen. Es steht also zu erwarten, meint Rex Plantado, dass in Zukunft weiteren Variationen dieses Schädlings auftauchen werden.
