Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus


17. Mai 2013

Browser Toolbars – fast schon Malware?

In einem vorherigen Blog hatten wir über die Statistiken zur Browser-Säuberung berichtet. Die damaligen Zahlen haben sich in der Zwischenzeit noch weiter verschlechtert. Heute sieht das Bild so aus:

  • Mehr als 700.000 verschiedene Browsererweiterungen für die drei wichtigsten Browser
  • Mehr als 80% dieser Plug-Ins haben eine schlechte oder sehr schlechte Community-Bewertung
  • Nach wie vor kommt mehr als ein Drittel aller Plug-Ins in unserer Datenbank von nur drei Firmen

Es ist leicht zu erkennen, dass diese Zahlen weiter steigen werden. Aufgrund dieser Entwicklung ist es an der Zeit, unsere Kunden über ein paar interessante technische Details der unerwünschten Toolbars zu informieren:

Toolbars im Detail

Wie wir bereits im vorherigen Blogbeitrag erwähnt haben, analysieren wir viele dieser Plug-Ins genauer. Ziel ist, daraus zu lernen wie sie sich verhalten, wie wir sie entfernen können und was wir in Zukunft erwarten müssen. Während dieser Analysen wurde klar, dass die unerwünschten Plug-Ins sogar noch schlechter sind als bislang angenommen. In der Tat verhält sich ein großer Prozentsatz der auf den PCs unserer Kunden installierten Browser-Plug-Ins ähnlich wie Malware. Der gängige Name für solche Programme im „Graubereich“ ist Grayware. Man könnte auch (etwas flapsig) „Malware mit Lizenzbestimmungen“ dazu sagen.

Sehr interessant (aber auch besorgniserregend) sind hierbei die Techniken, die eingesetzt werden, um eine Deinstallation durch den Benutzer zu verhindern oder zumindest zu erschweren. Einige Hersteller sind in diesem Bereich sehr kreativ:

  • Das mit der Toolbar gelieferte Deinstallationsprogramm ist oftmals nur eine Attrappe. Wenn es über die Windows Systemsteuerung aufgerufen wird, macht es oftmals … gar nichts (außer zu behaupten, dass die Deinstallation erfolgreich war).
  • Der Name der Toolbar ist stark unterschiedlich vom Eintrag in der Programmliste der Systemsteuerung, so dass der Benutzer fast keine Chance hat den richtigen Eintrag zur Deinstallation zu finden.
  • Die Deaktivierung wird durch Einträge in den sogenannten Gruppenrichtlinien verhindert. Die meisten Anwender (und auch etliche Profis) sind nach dieser Änderung wissenstechnisch nicht mehr in der Lage, die Toolbar zu entfernen.
  • Der Name der Toolbar wird bewusst so verändert, dass eine automatische Erkennung oder Entfernung erschwert wird. Typische Beispiele für eine „Anpassung“ des Namens sind:
Originalname Browse2Save Search-NewTab CouponIt
Änderung 1 Browse2save Searcehh—NewTab CooupoonIt
Änderung 2 BrowseToSave SSeeAArcch—NewTaab CCoupoooneIoto
Änderung 3 BrowSoe2savE Searcehh—NewTab CouponIt
Änderung 4 Browsee2save SSeeAArcch—NewTaab CCoUpponnItu
Änderung 5 Bruowse2saavee SyeaarCh-NNeWTabb CyoupounIt
Änderung 6 Browyse2Saave Searcehh-NewTab CoupiOnIIt
Änderung n

 

  • Das Installationsprogramm der Toolbar installiert einen zusätzlichen Windows-Dienst (ein nicht direkt sichtbares Hintergrundprogramm). Offiziell zum Installieren von Updates verwendet, verhindert er „so nebenbei“ auch das Zurücksetzen der Homepage und des Suchdienstes (Search-Provider). Der Dienst sorgt auch dafür, dass die Toolbar sofort wieder installiert wird, falls der Benutzer sie manuell entfernen sollte. Offiziell ist dieses Vorgehen natürlich ein Feature.
  • Durch die Installation einer speziellen Windows-Datei (eine sog. Dynamic Link Library, DLL), wird diese automatisch mit allen anderen Programmen (!) mitgeladen. Diese DLL arbeitet dann meist ähnlich wie der oben erwähnte Windows-Dienst.

Manchmal wird ein echtes, wirklich funktionierendes Deinstallationsprogramm mitgeliefert. Wenn Sie es allerdings ausführen, wird Ihnen die Installation einer anderen Grayware angeboten. Durch das Entfernen von Toolbar X erhalten Sie dafür Toolbar Y.

Wie kann die Installation von Grayware verhindert werden?

Was können Sie tun um zu verhindern, dass sich derartige Grayware auf Ihrem Computer einnistet?

Eine recht einfache Regel hilft (meistens) diese Plug-Ins zu vermeiden:

Die Toolbars werden meistens während der Installation von kostenlosen Programmen anderer Hersteller angeboten. Sie dienen diesen Herstellern häufig als zusätzliche Einnahmequelle. Die Toolbars sind dabei meist optional zu deaktivieren(opt-out), d.h. Sie müssen ein oder mehrere Häkchen entfernen, um die Installation zu verhindern. Daher sollten Sie alle angezeigten Dialoge während der Installation eines derartigen Programmes genau lesen und prüfen. Entfernen Sie die Häkchen von allem, was Sie nicht kennen. Wenn Sie unsicher sind, sollten Sie das entsprechende Programm ggf. auch komplett vermeiden.

installer

Leider ist es nicht in allen Fällen möglich, das mitinstallierte Plug-In abzuwählen. Die Toolbar ist ganz einfach Teil der entsprechenden Produktinstallation.

Im Fall des Falles – d.h. falls Sie sich bereits eine derartige Grayware „eingefangen“ haben – hilft Ihnen die Avast Browser-Säuberung dabei, Ihren Internet-Browser wieder fit zu bekommen. Sie können sich das Tool hier kostenlos herunterladen: http://files.avast.com/files/tools/avast-browser-cleanup.exe.

Categories: General Tags:
Kommentare sind geschlossen