Was ein einziger Download anrichten kann

Ein Notebook, das mir zurzeit zur Bereinigung vorliegt, zeigt eindrucksvoll, wie schnell man sich eine Menge sogenannter Potentiell Unerwünschter Programme (PUPs) installieren kann. In diesem Fall reichte bereits ein einziger unbedachter Download aus einer vermeintlich vertrauenswürdigen Quelle, um sich 19 PUPs zu installieren.

Ruf-Selbstmord mit lästigen Dreingaben

Seit einiger Zeit versuchen Downloadportale und EDV-Zeitschriften verstärkt, sich etwas dazuzuverdienen, indem sie die Installationsroutinen von Shareware- und Freeware-Programmen mit eigenen Installern ausliefern. Diese Installer bieten in der Regel gleich noch weitere Programme an, die dann später dazu dienen, vor allem den Browser noch mit zusätzlicher Werbung zu bombardieren. Diese Programme nennt man „potentiell unerwünschte Programme„. Für den Anwender sind solche PUPs häufig wesentlich lästiger und hinderlicher als „normale“ Schadsoftware wie Viren und Trojaner. Auf jeden Fall fallen sie stärker auf. Virenscannern gelingt es häufig nicht, ihre Installation und Funktion zu verhindern. Die Programme klinken sich als Browsererweiterungen und normale Programme in das Windows-System ein und sind dort oft nur sehr schwer wieder zu entfernen. Selbst unter Linux und OS X können sie als Browsererweiterungen funktionieren, lassen sich aber wenigstens vergleichsweise einfach löschen.

Anscheinend ist es den Downloadportalen und Zeitschriften egal, dass sie sich mit solchen Praktiken über kurz oder lang ihren guten Namen ruinieren. Auch der Ruf der heruntergeladenen Software leidet, ich habe zum Beispiel Downloader für den Google Browser Chrome gesehen, die bei einer Untersuchung mit einem Virenscanner einen Alarm ausgelöst haben, weil derartige PUPs mit installiert wurden. Der Browser wurde nicht bei Google selbst herunter geladen, sondern bei einer namhaften EDV-Zeitschrift.

Laden Sie deshalb Software nur aus vertrauenswürdigen Kanälen herunter. Das bedeutet leider vor allem, dass Sie, wann immer das möglich ist, den Download von der Originalquelle bevorzugen sollten, also direkt vom Autor. Laden Sie z.B. Chrome nur direkt von Google herunter, nicht aus einer anderen Quelle. Sollten Sie sich auf diese Weise trotzdem etwas einfangen, hat sich der Autor wenigstens selbst in seinem Ruf geschadet.

Ein Download, 19 Infektionen

Was man mit einer einzigen Installation bereits anrichtet, zeigt folgendes Bildschirmfoto:

PUPs tragen sich in der Regel als ganz normale Programme ein, als hätte der Anwender sie freiwillig installiert. Häufig hat der Anwender aber einfach einer Installation mit „Standardeinstellungen“ zugestimmt, statt eine benutzerdefinierte Installation auszuwählen, oder er hat die vielen Rückfragen und darin verborgenen Installationsvorschläge einfach reflexartig mit OK quittiert, ohne sie wirklich zu lesen.

Wenn man die Liste der installierten Programme wie im Bildschirmfoto nach Datum sortiert, kann man schön sehen, welche Programme zeitgleich installiert wurden. Wenn man weiter nach unten scrollt, findet man vielleicht sogar noch weitere, ältere Beispiele für solchen Gruppenbefall mit potentiell unerwünschten Programmen.

Im Beispiel ist zu sehen, dass 19 Programme am 21. November 2014 wohl auf einen Schlag installiert wurden. Der Anwender hat an diesem Datum wahrscheinlich bewusst eines der Video Helper-Programme aus der Liste heruntergeladen und installiert. Der Rest kam ungefragt mit – oder der Anwender hat die Rückfragen einfach bestätigt, ohne sie zu lesen. Zwei weitere Gruppen solcher Downloads finden sich auf diesem System weiter unten (nicht im Bild), eine aus 2013 und eine aus 2012.

Deinstallation – nicht immer Routine

Viele potentiell unerwünschte Programme lassen sich wenigstens normal in diesem Dialogfenster von Windows deinstallieren, einige versuchen aber eine ganze Reihe Tricks, um der Deinstallation zu entgehen. Als besonders lästiges Beispiel hier einige Bildschirmfotos von der Deinstallation von „Omiga Plus“ aus der Liste:

Omiga Plus schützt sich vor der Deinstallation durch ein Captcha. Vielleicht, um der Deinstallation durch Konkurrenzprodukte zu entgehen?

Beachten Sie das unterschiedliche Verhältnis von Größe und Auffälligkeit des Continue-Links zu dem Cancel-Knopf. Ein korrekt auf den Windows-Klick-Reflex dressierter Anwender könnte hier vollautomatisch auf „Cancel“ drücken, ohne das Fenster zu lesen.

Hat man auf „Continue“ geklickt und das Captcha gelöst, kann man diesem „Waiting“-Fenster bis zum St. Nimmerleins-Tag dabei zusehen, wie es einfach nicht weitergeht.

Tatsächlich kann man mit dem Programm Process Explorer aus der Sysinternals Suite von Microsoft schön beobachten, dass die Deinstallationsroutine gar nichts tut (graue Zeile).

Tatsächlich geht es erst nach einem erneuten Druck auf „Continue“ weiter. Genervte Benutzer drücken aber wahrscheinlich eher irgendwann auf „Cancel“, und nichts wird deinstalliert.

Als besonderes Bonbon erwartet uns anschließend eine schwierige Entscheidung: Ja oder OK?

Wenigstens sind beide Antworten wünschenswert. Theoretisch kann sich aber, da diese Dialoge nur Teil des Programms sind und nicht vom Betriebssystem bereitgestellt werden, auch jede beliebige Routine dahinter verbergen, die Beschriftung ist für die Funktionalität bedeutungslos. Immerhin hat ein Druck auf „OK“ in diesem Fall dafür gesorgt, dass das Programm endlich deinstalliert wurde.

Unabhängig von solch einer Deinstallation auf normalem Wege verbleiben viele Elemente der potentiell unerwünschten Programme auf dem Rechner, allen voran häufig der ursprüngliche Download, der die Infektion mit diesen Programmen überhaupt erst mit sich brachte, sowie temporäre Internet-Dateien oder die Browsererweiterungen. Auch Einstellungen, die die Startseite oder Leerseite des Browsers umbiegen, müssen manuell beseitigt werden, was je nach Browser mehr oder weniger kompliziert sein kann.

Die vollständige Entfernung dieser Programme inklusive aller auffindbaren Bestandteile kann gut und gerne mehrere Stunden in Anspruch nehmen. Im Falle des verseuchten Beispiel-Notebooks wurde nach der Deinstallation aller Programme vom 21. November sowie der Infektionen aus den Vorjahren noch ein Virenscan mit der Desinfec’t-DVD aus dem c’t-Magazin durchgeführt, der drei Virenscanner, nämlich Avira, Kaspersky und BitDefender, nacheinander auf das System loslässt. Der Vorteil bei diesem Verfahren ist, dass diese DVD ein Linux-System bootet, von dem aus Windows gescannt werden kann, während es nicht aktiv ist. Damit ist auch die darauf installierte Schadsoftware nicht aktiv und kann sich nicht gegen Entdeckung und Löschung wehren. Dieser Scanvorgang, der mehrere Stunden läuft, entdeckte weitere 78 Dateien, die als Teil einer Infektion galten.