Das Problem schädlicher Download-Wrapper, die einem aggressive Adware oder schlimmeres unterjubeln, ist mittlerweile weithin bekannt. Also beispielsweise auf Seiten wie Softonic, download.com oder bei einigen Sourceforge-Projekten (z.B. Filezilla). Derzeit berüchtigt sind u.a. die Download-Wrapper von Adware-Firmen aus dem sog. "Download Valley" in Israel, was wohl weniger eine geografische Bezeichnung, als ein Sammelbegriff für den in diesem Bereich tätigen Teil der israelischen IT-Industrie ist. Dabei stellen einige der Firmen sowohl die Downloader als auch die damit untergeschobene Adware/PUP her.

Einige Anti-Malware-Programme erkennen die Installer bzw. die untergejubelte Adware als Schadsoftware (z.B. InstallCore, der wohl für vorgenannte Websites verwendet wird), viele andere aber auch nicht, wenn man sich mal die Ergebnisse auf Vergleichsseiten wie herdprotect oder virustotal.de ansieht.

Die Frage ist, ob das an den ausgefeilten Verschleierungsmechanismen liegt - angeblich beschäftigen einige dieser Firmen bis zu 15 Entwickler, nur um den Malwareschutz der Zielrechner zu durchbrechen. Oder ob die Kriterien für Malware durch diese Programme nicht hinreichend erfüllt sind oder es hohe rechtliche Risiken gibt.

Etliche dieser Programme installieren sich durch täuschende Angaben beim Installieren/Download, manche, ohne überhaupt zu fragen. Sie sind darauf angelegt, Sicherheitssoftware zu durchbrechen, spionieren praktisch alles aus, verschleiern ihre Identität (z.B. polymorphe, zufällig benannte Dateien) und versuchen, eine Entfernung durch den User zu verhindern; manche laden auch ggf. andere unerwünschte Software (z.T. wohl auch klassische Malware) nach. Einige der Installer haben offenbar vor allem das Ziel, den Nutzer zur Gewährung von Adminrechten zu veranlassen, wenn er die gewünschte Software installieren will, um dann Vollzugriff auf den Rechner zu bekommen und damit Dritte nach Lust und Laune agieren zu lassen.

Also eigentlich alle Features klassischer Malware, nur, dass es statt versteckt agierender Malware-Gangster formal legale, wenn auch unseriöse Firmen sind (wobei Verbindungen in die IT-Unterwelt nicht ausgeschlossen sind). Manchmal sind Schadfunktionen im Kleingedruckten der EULAs versteckt beschrieben, die natürlich niemand liest, auf die sie sich aber berufen, um eine "Legitimität" des Vorgehens zu behaupten.

Eigentlich sollte ein Anti-Malware-Programm doch alle Software entfernen dürfen, die ein User nicht haben will. Kennt jemand Gründe, warum dieser Download-Adware-Mist nicht stärker von Anti-Malware-Programmen entdeckt wird?

Das gilt alles als PUP, potentially unwanted program. Die meisten Scanner erkennen das erst, wenn der User sie entsprechend einstellt, die Erkennung also aktiviert.

und die erkennung für pup ist standardmäßig deaktiviert, aus rechtsgründen.

Ich sehe das Problem nicht. Man besorgt sich irgendwo eine Software ohne den Anbieter noch den Inhalt der Software zu kennen. Dann braucht man sich wohl kaum wundern, dass sich die Software nicht so verhält wie gewünscht.
Ich vergleiche es mal mit Android-Software. Wenn ich mir eine Taschenlampen-App aus irgendeinem China-Store ziehe und diese dann auf meine SMS zugreifen will brauche ich mich doch auch nicht darüber wundern, dass kostenpflichtige SMS verschickt werden.

Das schöne Internet von vor einigen Jahrzehnten gibt es nicht mehr. Dass Virenscanner gegen die Probleme der heutigen Malware nicht mehr ankommen sollte bekannt sein. Da wäre es also besser vorher zu überlegen ob man irgendwas installiert oder besser nicht.

Abschließend könnte man auf Linux verweisen. Dort werden alle Programme durch Maintainer qualitätsgesichert. Man installiert aus einer vertrauenswürdigen Quelle. Ja es gibt dort nicht alles aber wohl auch weniger Adware.

Zitat:

Zitat von iceweasel

Ich sehe das Problem nicht. Man besorgt sich irgendwo eine Software ohne den Anbieter noch den Inhalt der Software zu kennen. Dann braucht man sich wohl kaum wundern, dass sich die Software nicht so verhält wie gewünscht.

Das Problem ist, dass Windows keine echte Paketverwaltung hat. Dann sind auch solche Probleme vorprogrammiert, weil die
User sich vom erstbesten ergoogleten Link was runterladen und dann mit verbundenen Augen installieren...

Es sind ja meist gar nicht irgendwelche zwielichtigen Warez-Seiten aus Russland, China usw. die den Mist verbreiten, sondern oft lange Zeit rennomierte Portale und Betreiber. Chip.de und download.com, oder Sourceforge, sofern die für die Software verantwortlichen Entwickler aktiv mitmachen, wie z.B. bei Filezilla (FTP-Client). Bei letzterem läuft man mit dem klassischen Ratschlag, direkt beim Entwickler zu laden, geradewegs in die Malware-Falle.

Linux ist einfach noch nicht interessant genug für Kriminelle, die über massenhafte Verbreitung von Adware und Malware Profit machen. Wenn man da was installiert, braucht man meist auch Rootrechte, und die meisten geben die, wenn der Download von einem vermeintlich renommierten Anbieter ist.

Gleiches Problem wie bei Android, das ja schließlich ein Linux-Derivat ist: die Anwendungen verlangen alle möglichen Rechte, und man hat keine Möglichkeit, die zu verweigern, will man nicht auf die App verzichten. Sinnvoll wäre da eine Art Sandbox oder Virtual Machine, wo die Apps zwar auf Identität, Mail, SMS usw. zugreifen können, aber da nur auf Fake-Daten und -Funktionalität stoßen. Es gab mal sowas, was aber wohl entweder aus dem Google Play-Store wieder entfernt wurde, oder aber ein gerootetes Handy voraussetzte.

Allerdings dürften doch Programm-Merkmale, wie das Durchbrechen von Malwareschutz, oder Versuche, ein Abschalten und Entfernen zu verhindern, für sich schon eine Einstufung als Malware rechtfertigen, egal, ob die Programme darüber hinaus Schadfunktion haben. Gleiches gilt für arglistige Täuschung, wenn EULAs für Adware betrügerisch so gestaltet sind, als seien sie für die gewünschte Software, oder wenn sie in ihrem ellenlangen Kleingedruckten die Schadfunktionen verstecken, sich auf den ersten Blick aber als harmlose Spiele, Einkaufsführer usw. geben. Vernünftige Rechtssysteme sorgen dafür, dass unangenehme Überraschungen, die im Kleingedruckten versteckt sind und dem ersten Eindruck drastisch widersprechen, keinerlei rechtliche Legitimität haben. So u.a. die deutsche AGB-Gesetzgebung, die leider nicht immer ausreicht und wo es sehr lange dauerte, bis z.B. Abofallen-Betrüger auch strafrechtlich belangt wurden und ihr ergaunertes Geld längst noch nicht komplett eingezogen ist.

Zitat:

Zitat von bbi2014

Bei letzterem läuft man mit dem klassischen Ratschlag, direkt beim Entwickler zu laden, geradewegs in die Malware-Falle.

Das ist so pauschal ausgedrückt Unsinn. PUP ist keine Malware, sondern nervige Adware.
Wenn man direkt vom Hersteller/Entwickler lädt, kann man auch keine dämlichen Downloader bekommen wie zB von chip oder softonic
Wer immer nur weiter weiter weiter klickt, nichts durchliest, ja der hat ein Problem.

Zitat:

Linux ist einfach noch nicht interessant genug für Kriminelle, die über massenhafte Verbreitung von Adware und Malware Profit machen. Wenn man da was installiert, braucht man meist auch Rootrechte, und die meisten geben die, wenn der Download von einem vermeintlich renommierten Anbieter ist.

Sry, aber ich glaube du hast keine Ahnung von der Paketverwaltung oder??

@bbi2014
Beschäftige dich vielleicht mal mit Softwareentwicklung und IT-Sicherheit. Natürlich kann der Entwickler Schadcode einbauen. Aber viele Softwareentwickler bekommen es einfach nicht hin ihre Webseiten sauber zu halten, so dass der Schadcode gar nicht von den Entwicklern stammt.

Zitat:

Allerdings dürften doch Programm-Merkmale, wie das Durchbrechen von Malwareschutz, oder Versuche, ein Abschalten und Entfernen zu verhindern, für sich schon eine Einstufung als Malware rechtfertigen,

Der Fehler liegt darin, dass es gar keinen Malwareschutz geben kann. Wenn ich eine Software schreiben würde die irgendwas macht was dir nicht gefällt wird ein Malwareschutzprogramm es nicht erkennen oder vielleicht dann wenn sich Tausende von Leute erst mal gemeldet haben.

Zitat:

Zitat von iceweasel

Aber viele Softwareentwickler bekommen es einfach nicht hin ihre Webseiten sauber zu halten, so dass der Schadcode gar nicht von den Entwicklern stammt.

Viele Entwickler können auch der Versuchung nicht widerstehen, ihre Software mit Adware bundlen zu lassen...genau das ist doch das Hauptproblem zur Zeit, von 100 Hilfesuchenden hier beschweren sich 99 über irgendwelchen Adware-Schrott, den sie sich aus Faulheit, Angst vor "Experteninstallation" und/oder Hektik "selbst" installiert haben

Diesen Artikel schon gelesen? => PUP-Hausierer - Ein typischer Tag in der Zentrale von Emsisoft

(schrauber hat den mal gebracht )

Ich habe Zweifel daran, dass PUP wirklich nur nerviger, aber harmloser Müll sind. Gerade von den einschlägigen Downloadwrappern liest man massenhaft, dass entweder mit ihnen oder als Folgeinstallation auch "echte" Malware installiert wurde.

Nehmen wir als Beispiel mal Filezilla/Sourceforge, das wohl auch deswegen besonders negativ auffällt, weil es viel in "ernsthaften" Zusammenhängen verwendet wird und der Entwickler den kontaminierten Download offiziell empfiehlt:

Wenn man Windows UAC eingeschaltet hat (ich weiß, nicht der Weisheit letzter Schluss, hält aber trotzdem manches ab bzw. macht drauf aufmerksam), verlangt der Downloadwrapper schon Adminrechte, bevor das gewünschte Hauptprogramm überhaupt geladen ist. Der unbedarfte User wird sie auch gewähren, weil er glaubt, es sei zum Installieren nötig. Wenn ich (und andere) es richtig sehen, werden dann verschiedene Programme aus dem Adware-Pool geladen und mit den so erlangten Adminrechten gestartet. Ab da hat also weder der Entwicker, der seine Sachen in Adware packen lässt, noch die Downloadsite irgendeine Kontrolle darüber, was diese Adware beinhaltet oder tut.

Von daher ist es auch überhaupt nicht verwunderlich, dass häufig Adware ganz ungefragt oder trotz Ablehnung installiert wird oder User durch betrügerisch gestaltete Menüs zur "Zustimmung" von Adware-Installationen veranlasst werden (z.B. Adware EULA mit dem Namen und Logo des eigentlich gewünschten Programms als dicke Überschrift). Die Behauptung, man könne bei den gängigen Downloadwrappern Adware-Installationen vermeiden, wenn man halbwegs aufmerksam ist, ist schlicht falsch, von den dafür Verantwortlichen Lüge und Betrug.

Solche Downloadwrapper erscheinen mir als Trojaner im eigentlichen Sinn: sie täuschen vor, nur das Hauptprogramm zu installieren (oder dem User über andere Installationen zumindest Entscheidungsfreiheit zu lassen), lassen sich damit Zugang zum System gewähren, der dann an irgendwen weiter verkauft wird. Ob oder welche Schadfunktion dann ausgeführt wird, liegt an dem, der den Zugang kauft. Auch ein Trojaner-Klassiker wie Netbus macht ja zunächst mal keinen Schaden auf dem Zielsystem - das macht ggf. nur jemand, der den illegalen Zugang nutzt.

Jedenfalls gibt es viele Berichte, dass die Hersteller einschlägiger Adware sich auch das "Recht" auf weitere Installationen vorbehalten und dies als Freibrief für alles weitere, einschließlich "echter" Malware, betrachten. Die behaupten, dass alles, was irgendwo in EULAs versteckt ist, tatsächlich ihr gültiges Recht wäre (wobei ich arg bezweifle, dass die sich überhaupt um irgendein Recht kümmern). Bekannter Fall war z.B. InstallBrain / iBario / Mevade / Sefnit, von einem Firmengeflecht, das auch zum "Download Valley" gezählt wird:

Adware wird zum Risiko: die Installbrain/Sefnit-Verbindung | blog.trendmicro.de

Ich halte es für falsch, die Malware-Eigenschaft nur daran festzumachen, dass irgendwas aus dem Untergrund kommt, das bei formal legalen Firmen aber zu verneinen, wenn sie effektiv dasselbe tun. Abofallen-Abzocker und einschlägige Abmahnanwälte sind doch genauso Abzocker und Kriminelle wie Diebe, Räuber und Erpresser - dass sich die Rechtsprechung damit schwertut, ist zweifellos ein Problem, aber Schutzbedarf besteht im gleichen Maße.

Viele behaupten Linux wäre kompliziert. Neben einem grafischen Tool kann ich einfach so installieren:

Code: Alles auswählenAufklappen

ATTFilter

apt-get install filezilla
         

Bei Interesse:
https://packages.debian.org/de/wheezy/filezilla
hxxp://packages.ubuntu.com/de/trusty/filezilla

Aber zurück zum Thema.

Die Datei "FileZilla_3.9.0.6_win32-setup.exe" wurde laut

https://www.virustotal.com/de/file/f1a7a6c26af49ae31d0c8f6e37367245f3ab82d5544f56e025e0fdd5be44918d/analysis/

erst mal als nicht schadhaft angegeben. Sollte wirklich im Hintergrund massenhaft was passieren sollten die Virenscanner hoffentlich ihre Meinung ändern.

Laut SourceForge ist es "Verified Virus Free". Das muss aber nicht bedeuten, dass es keine Werbung geben kann. Bei Debian würde das Paket mit Werbung einfach rausfliegen oder würde mindestens von "main" nach "non-free" verlagert.

https://packages.debian.org/de/wheezy/vrms
hxxp://de.wikipedia.org/wiki/GNU-Projekt

Generell halte ich Filezilla für eine vertrauenswerte Software. Was jedoch die Windows-Installer so im Intergrund machen will ich gar nicht wissen.

Zitat:

Zitat von iceweasel

Viele behaupten Linux wäre kompliziert. Neben einem grafischen Tool kann ich einfach so installieren:

Code: Alles auswählenAufklappen

ATTFilter

apt-get install filezilla
         

Aber nur bei Systemen, die APT verwenden, also debian und Derivate wie zB Ubuntu

Zitat:

Generell halte ich Filezilla für eine vertrauenswerte Software. Was jedoch die Windows-Installer so im Intergrund machen will ich gar nicht wissen.

FileZilla selbst ist eine gute Software, das Problem ist, dass es unter Windows zig verschiedene Wege der Installation gibt bzw die User sich ihre Software einfach von irgendwo ziehen. FileZilla ist da nur ein Beispiel, das Problem ist bei jeder anderen Software auch wegen der fehlenden Paketverwaltung von Windows.

Ich hab gerade noch mal die aktuelle Version vom "empfohlenen" Filezilla-Installer auf der Entwicklerseite filezilla-project.org, 771KB gecheckt, da hatte er in 6/55 Virenscannern Funde: 5x InstallCore, 1x Generic.057.

https://www.virustotal.com/de/file/3b74468c670db831d09b424bc411b3c904194116b1ccd7cd5c414ad92759babe/analysis/1416876823/

Wie schon gesagt, die betreiben erheblichen Aufwand, um durch die Virenscanner durchzubrechen. Der PUPser InstallCore lässt sich erst mal Adminrechte geben und führt dann offenbar damit eine Reihe zufälliger Programme aus dem Adware-Pool aus.

Diesmal ist mir noch ein Browser-Popupfenster vor dem Speichern des Installers aufgefallen, wonach angeblich bestimmte Opt Outs nicht funktionieren, wenn man keine Drittanbieter-Cookies zulässt. Mir ist noch nicht ganz klar, ob das die Sourceforge-Website oder die folgende Installation betrifft. Jedenfalls gibt es etliche Beschwerden darüber, dass sich Zusätze ungefragt oder trotz Opt out insstallieren; betrügerische Installscreens sind ein anderes Thema

Vielleicht sind es ja False Positive oder die Webseite wurde gehackt. Man möchte den Herstellern ja gar nichts unterstellen. Das Problem ist einfach, dass man irgendjemanden eben einfach trauen muss.

Zitat:

Zitat von iceweasel

Vielleicht sind es ja False Positive oder die Webseite wurde gehackt. Man möchte den Herstellern ja gar nichts unterstellen.

Soll das Ironie sein? Das ist der offizielle und vom Entwickler empfohlene Download-Wrapper, der den Mist ausführt und der (wohl in wechselnden Varianten) da auch schon seit 2013 verwendet wird. Zum Glück erkennen einige Scanner (anscheinend nicht immer die gleichen) den als PUPser bzw. Malware.

Zitat:

Zitat von iceweasel

Das Problem ist einfach, dass man irgendjemanden eben einfach trauen muss.

Oder man muss einsehen, dass jemand einfach ein schwarzes Schaf ist und man von ihm besser nichts mehr nehmen sollte. Für Filezilla gibt es auch noch versteckte Links in Kleinschrift, die nicht den Wrapper verwenden - aber es gab auch schon Debatten über eine Autoupdate-Funktion, die womöglich dann doch wieder den Mist holt.

Es gibt schließlich nicht wenige "freie" Anwendungen, die sich über sowas finanzieren.