Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Archiv

Autor Archiv
28. Juni 2013

Stiftung Warentest: Gutes Qualitätsurteil für avast! Mobile Security

 

androidDas Smartphone ist für viele Menschen nicht mehr aus dem Alltag wegzudenken: Laut IT-Branchenverband BITKOM besitzen heute rund 40 Prozent der deutschen Bundesbürger über 14 Jahren eines der intelligenten Mobiltelefone. Surfen, Chatten, Shoppen, Online-Banking – längst kann das Smartphone alles und noch mehr, als ein PC. Damit wird das Smartphone aber auch ein interessantes Ziel für Online-Kriminelle; zudem kann der Verlust des Geräts und darauf enthaltene Daten besonders kritisch sein.

 

Stiftung Warentest rät in seiner aktuellen Ausgabe daher: „Jeder Nutzer sollte sein Smartphone vor Verlust und Schadprogrammen schützen.” Wir freuen uns, dass unsere kostenlose Sicherheits-App avast! Mobile Security im Test mit dem Qualitätsurteil „gut“ bewertet wurde.

 

Details zum Test finden sich in aktuellen Medienberichten und in voller Länge in der aktuellen Ausgabe von Stiftung Warentest (7/13). Smartphone-Nutzer können avast! Mobile Security hier im Google-Play-Store herunterladen.

Categories: General Tags: , ,
Comments off
17. Mai 2013

Browser Toolbars – fast schon Malware?

In einem vorherigen Blog hatten wir über die Statistiken zur Browser-Säuberung berichtet. Die damaligen Zahlen haben sich in der Zwischenzeit noch weiter verschlechtert. Heute sieht das Bild so aus:

  • Mehr als 700.000 verschiedene Browsererweiterungen für die drei wichtigsten Browser
  • Mehr als 80% dieser Plug-Ins haben eine schlechte oder sehr schlechte Community-Bewertung
  • Nach wie vor kommt mehr als ein Drittel aller Plug-Ins in unserer Datenbank von nur drei Firmen

Es ist leicht zu erkennen, dass diese Zahlen weiter steigen werden. Aufgrund dieser Entwicklung ist es an der Zeit, unsere Kunden über ein paar interessante technische Details der unerwünschten Toolbars zu informieren:

Toolbars im Detail

Wie wir bereits im vorherigen Blogbeitrag erwähnt haben, analysieren wir viele dieser Plug-Ins genauer. Ziel ist, daraus zu lernen wie sie sich verhalten, wie wir sie entfernen können und was wir in Zukunft erwarten müssen. Während dieser Analysen wurde klar, dass die unerwünschten Plug-Ins sogar noch schlechter sind als bislang angenommen. In der Tat verhält sich ein großer Prozentsatz der auf den PCs unserer Kunden installierten Browser-Plug-Ins ähnlich wie Malware. Der gängige Name für solche Programme im „Graubereich“ ist Grayware. Man könnte auch (etwas flapsig) „Malware mit Lizenzbestimmungen“ dazu sagen.

Sehr interessant (aber auch besorgniserregend) sind hierbei die Techniken, die eingesetzt werden, um eine Deinstallation durch den Benutzer zu verhindern oder zumindest zu erschweren. Einige Hersteller sind in diesem Bereich sehr kreativ:

  • Das mit der Toolbar gelieferte Deinstallationsprogramm ist oftmals nur eine Attrappe. Wenn es über die Windows Systemsteuerung aufgerufen wird, macht es oftmals … gar nichts (außer zu behaupten, dass die Deinstallation erfolgreich war).
  • Der Name der Toolbar ist stark unterschiedlich vom Eintrag in der Programmliste der Systemsteuerung, so dass der Benutzer fast keine Chance hat den richtigen Eintrag zur Deinstallation zu finden.
  • Die Deaktivierung wird durch Einträge in den sogenannten Gruppenrichtlinien verhindert. Die meisten Anwender (und auch etliche Profis) sind nach dieser Änderung wissenstechnisch nicht mehr in der Lage, die Toolbar zu entfernen.
  • Der Name der Toolbar wird bewusst so verändert, dass eine automatische Erkennung oder Entfernung erschwert wird. Typische Beispiele für eine „Anpassung“ des Namens sind:
Originalname Browse2Save Search-NewTab CouponIt
Änderung 1 Browse2save Searcehh—NewTab CooupoonIt
Änderung 2 BrowseToSave SSeeAArcch—NewTaab CCoupoooneIoto
Änderung 3 BrowSoe2savE Searcehh—NewTab CouponIt
Änderung 4 Browsee2save SSeeAArcch—NewTaab CCoUpponnItu
Änderung 5 Bruowse2saavee SyeaarCh-NNeWTabb CyoupounIt
Änderung 6 Browyse2Saave Searcehh-NewTab CoupiOnIIt
Änderung n

 

  • Das Installationsprogramm der Toolbar installiert einen zusätzlichen Windows-Dienst (ein nicht direkt sichtbares Hintergrundprogramm). Offiziell zum Installieren von Updates verwendet, verhindert er „so nebenbei“ auch das Zurücksetzen der Homepage und des Suchdienstes (Search-Provider). Der Dienst sorgt auch dafür, dass die Toolbar sofort wieder installiert wird, falls der Benutzer sie manuell entfernen sollte. Offiziell ist dieses Vorgehen natürlich ein Feature.
  • Durch die Installation einer speziellen Windows-Datei (eine sog. Dynamic Link Library, DLL), wird diese automatisch mit allen anderen Programmen (!) mitgeladen. Diese DLL arbeitet dann meist ähnlich wie der oben erwähnte Windows-Dienst.

Manchmal wird ein echtes, wirklich funktionierendes Deinstallationsprogramm mitgeliefert. Wenn Sie es allerdings ausführen, wird Ihnen die Installation einer anderen Grayware angeboten. Durch das Entfernen von Toolbar X erhalten Sie dafür Toolbar Y.

Wie kann die Installation von Grayware verhindert werden?

Was können Sie tun um zu verhindern, dass sich derartige Grayware auf Ihrem Computer einnistet?

Eine recht einfache Regel hilft (meistens) diese Plug-Ins zu vermeiden:

Die Toolbars werden meistens während der Installation von kostenlosen Programmen anderer Hersteller angeboten. Sie dienen diesen Herstellern häufig als zusätzliche Einnahmequelle. Die Toolbars sind dabei meist optional zu deaktivieren(opt-out), d.h. Sie müssen ein oder mehrere Häkchen entfernen, um die Installation zu verhindern. Daher sollten Sie alle angezeigten Dialoge während der Installation eines derartigen Programmes genau lesen und prüfen. Entfernen Sie die Häkchen von allem, was Sie nicht kennen. Wenn Sie unsicher sind, sollten Sie das entsprechende Programm ggf. auch komplett vermeiden.

installer

Leider ist es nicht in allen Fällen möglich, das mitinstallierte Plug-In abzuwählen. Die Toolbar ist ganz einfach Teil der entsprechenden Produktinstallation.

Im Fall des Falles – d.h. falls Sie sich bereits eine derartige Grayware „eingefangen“ haben – hilft Ihnen die Avast Browser-Säuberung dabei, Ihren Internet-Browser wieder fit zu bekommen. Sie können sich das Tool hier kostenlos herunterladen: http://files.avast.com/files/tools/avast-browser-cleanup.exe.

Categories: General Tags:
Comments off
9. April 2013

Regierung warnt vor Einsatz veralteter Software.

Das Bundesamt für Sicherheit in der Informationstechnik warnt auf seiner Homepage vor Angriffen auf den Computer beim Besuch populäre Webseiten und Online-Portale wenn auf dem PC veraltete Software installiert ist. Quelle: https://www.bsi.bund.de

Eine aktuelle Studie zeigt wie wichtig die Warnung des BSI ist – so ist aktuell auf ~ 95% aller PCs eine veraltete Version von Java installiert. Einmal so auf eine infizierte Webseite gesurft, und schon kann es passiert sein: unter Ausnützung einer Sicherheitslücke zum Beispiel im Adobe FlashPlayer oder Java gelangt ein sehr kleines Stück Programmcode (engl. Exploit) auf dem PC zur Ausführung, das im Prinzip nichts anderes zu tun hat, als die große Malware über Internet nachzuladen. Diese „große“ Malware ist dann häufig nur wenige Stunden alt und wurde vom entsprechenden Malware-Programmierer mit viel Arbeit so angepasst, dass die Virenscanner der meisten großen Hersteller sie noch nicht erkennen können.

Ein guter Virenscanner mit Web- und File-Reputation wie avast! hilft natürlich schon recht weit, da die Reputation der Malware zwangsläufig schlecht ist. Besser ist es allerdings, es erst gar nicht so weit kommen zu lassen und bereits den Exploit zu verhindern.

Statistik

Dass es in dieser Richtung einiges zu tun gibt, war ja schon eine ganze Weile bekannt und wurde nun erneut bestätigt. Nach dem neuesten Vulnerability-Review 2013 der dänischen Firma Secunia kommen 85% aller Sicherheitslücken aus Programmen von Drittherstellern, nur noch 5.5% betreffen das Betriebssystem (Windows) und weitere 8.5% Programme von Microsoft (z.B. Office, Silverlight, etc.) selber. (Quelle: http://secunia.com/vulnerability-review/vendor_update.html). Viren, Trojaner und andere Malware verbreiten sich in den letzten Jahren meist über Sicherheitslücken in diversen Programmen und im Betriebssystem. Das Interessante dabei ist aber, dass für den Großteil dieser Sicherheitslücken bereits ein sog. Patch existiert, bevor Viren und Trojaner diese Lücke ausnützen. D.h. obwohl für die entsprechenden Lücken Sicherheitsupdates verfügbar sind, werden diese häufig von den Anwendern nicht eingespielt. Ein aktueller Fall ist Darkleech, eine Malware die Sicherheitslücken in Adobe Flash, Adobe Reader und Java ausnützt.

Vorbeugen

Wie kann der Einzelne vorbeugen? Die einfache Regel lautet: halten Sie die kritischen Programme von Drittherstellern stets aktuell! Dazu gehören in erster Linie Ihr Internet Browser, sowie Adobe Flash, Adobe Reader, Adobe AIR und Oracle Java.

Aber Hand aufs Herz: machen Sie regelmäßig Ihre Updates? Wohl kaum. Die meisten Heimanwender dürften logistisch und fachlich überfordert sein, permanent die Updates zu lokalisieren, herunterzuladen und zu installieren.

Genau an dieser Stelle kommt der neue Avast Software Updater von avast! 8 ins Spiel. Indem er genau die Programme aktuell hält, die am häufigsten durch Malware ausgenutzt werden, trägt er maßgeblich zur Sicherheit eines Windows-PCs bei.

asu

Wie funktioniert das?

Über eine von Avast zentral verwaltete Datenbank wird der Avast Software Updater mit Informationen über die neusten Updates und Patches der entsprechenden Produkte versorgt. Bei Bedarf, d.h. wenn die lokal installierte Version älter ist als die aktuell im Internet verfügbare Version, wird automatisch im Hintergrund das zugehörige Updater heruntergeladen. Der Benutzer kann das Update dann auf Knopfdruck installieren. Im neuen Produkt Avast! Premier geschieht das auf Wunsch auch vollautomatisch im Hintergrund.

Probieren Sie es einfach aus – Sie erhalten ein deutliches Plus an Sicherheit auf Ihrem Computer!

 

Categories: General Tags:
Comments off
19. März 2013

AVAST Browser-Säuberung in der Praxis

Sieht Ihr Browser-Fenster so oder so ähnlich aus?

Browser_Toolbars

Wenn ja, sind Sie vermutlich Opfer unerwünschter Toolbars geworden. Diese Browsererweiterungen sind in den letzten Jahren zu einem echten Problem geworden. Leider sind aktuell viele kostenlose Programme mit unerwünschten Add-ons gebundelt. Meistens wird dabei eine sogenannte Toolbar installiert. Viele dieser Toolbars sind extrem nervig weil sie:

  • Die Homepage und die Suchmaschineneinstellungen ändern, bevor der Benutzer dies bemerkt
  • Browseraktivitäten und Suchanfragen überwachen und verfolgen
  • Suchergebnisse manipulieren und unzählige störende Werbeanzeigen einblenden
  • Den nutzbaren Platz im Browser reduzieren
  • Für einen normalen Computerbenutzer schwer bis gar nicht entfernbar sind

Speziell der letzte Punkt hat uns dazu bewogen die avast! Browser-Säuberung zu entwickeln. Sie hilft den avast! Benutzern unerwünschte Browser-Toolbars zweifelhafter Herkunft zu identifizieren und diese einfach zu entfernen. Das Tool ist in der neuen avast! 8 Version enthalten und kann darüber hinaus auch als eigenständiges Programm bei verschiedenen Download-Portalen für den Einsatz bei Freunden ohne installiertes avast! heruntergeladen werden. Ich denke etwa 20 Tage nach dem Release von avast! Browser-Säuberung ist es Zeit für eine erste Analyse der Ergebnisse.

Einige statistische Daten nach den ersten 20 Tagen

 

Kurz nach dem Release hatte ich geschätzt, dass wir bei etwa 100.000 verschiedenen Add-ons landen würden. Damit lag ich leider daneben – weit daneben! Die Realität zeigt, dass ich die Tragweite des Problems unterschätzt hatte. Zwanzig Tage nach dem Release der Browser-Säuberung zeigt unsere Datenbank….

  • mehr als 220.000 verschiedene Browser Add-ons für die 3 am häufigsten verwendeten Browser
  • mehr als 8.000 neue Add-ons pro Tag
  • mehr als 74% aller Add-ons erhalten ein schlechtes oder gar sehr schlechtes Community-Rating
  • mehr als ein Drittel aller in unserer Datenbank enthaltenen Toolbars sind von nur drei Firmen

Top 20

 

Die folgenden Zahlen basieren auf ca. 4 Millionen Benutzern, die die avast! Browser-Säuberung in den ersten 3 Wochen nach dem Release ausgeführt haben. Die Top 20 der schlecht oder sehr schlecht bewerteten Add-ons sehen sie in der Tabelle unten. Viele Benutzer haben sich dafür entschieden diese Toolbars zu entfernen:

 

Add-on Name Hersteller Browser

Installiert

Entfernt

Ask.com Toolbar Ask.com Internet Explorer

283.693

97.511

Yahoo! Toolbar Yahoo! Inc. Internet Explorer

202.493

16.372

Babylon toolbar helper Babylon BHO Internet Explorer

201.493

64.122

Babylon Toolbar Babylon Ltd. Internet Explorer

160.804

48.068

SweetPacks Toolbar SweetIM Technologies Ltd. Internet Explorer

158.576

47.229

Delta Toolbar delta-search.com Internet Explorer

150.124

44.446

Yontoo Api Yontoo LLC Internet Explorer

148.128

54.431

Active Desktop Mover Корпорация Майкрософт Internet Explorer

134.934

59.203

Searchqu Toolbar Visicom Media Inc. Internet Explorer

118.372

33.801

Web Assistant IncrediBar Internet Explorer

109.198

29.150

DealPly DealPly Technologies Ltd Internet Explorer

108.344

28.773

Ask.com Toolbar Ask.com Firefox

101.959

26.640

DealPly DealPly Technologies Ltd Chrome

100.926

23.880

Funmoods Toolbar Funmoods Internet Explorer

94.195

24.761

AVG Security Toolbar AVG Technologies Internet Explorer

92.460

26.415

delta Helper Object delta-search.com Internet Explorer

90.141

34.729

Funmoods Helper Object Funmoods BHO Internet Explorer

84.297

25.094

Yontoo Yontoo LLC Firefox

77.671

24.591

SweetPacks Toolbar SweetIM Technologies LTD. Firefox

77.071

22.277

IMinent Toolbar Iminent Internet Explorer

75.820

18.975

Die eigenen Browser kontrollieren

 

Wenn Sie Ihre eigenen Browser testen oder eine lästige Toolbar entfernen wollen klicken sie im avast! Fenster auf „Sicherheit“ -  „Werkzeuge“ auf den Menüpunkt Browser-Säuberung oder laden Sie das Tool z.B. unter http://www.chip.de/downloads/Avast-Browser-Cleanup_60753592.html herunter.

Bleiben Sie dran – es folgen weitere Blogs über Toolbars in den kommenden Tagen.

Categories: General Tags:
Comments off
14. März 2013

Kreative Phisher

Der Anfang der Woche bekannt gewordene Einbruch in die eine Webseite des deutschen avast! Vertriebspartners ‚avadas‘ hat anscheinend auch die Malware-Autoren auf den Plan gerufen. Unter dem Deckmantel des Avast Teams werden derzeit sog. Phishing E-Mails an verschiede E-Mail-Adressen in D-A-CH geschickt, die geschickt die Angst der Anwender vor dem Daten-GAU ausnützen. Wer allerdings die Anweisungen in der E-Mail befolgt und das vermeintliche „Avast_Sicherheitsupdate“ herunterlädt und startet, erhält in der Regel das Gegenteil – nämlich eine Malware.

Da avast! die Malware bereits generisch erkennt, versuchen die Angreifer die Avast-Kunden dazu zu überreden, die Echtzeit-Schutzmodule zu deaktivieren. Ein Link auf eine entsprechende Anleitung ist selbstverständlich mit dabei. Im zweiten Schritt soll der Kunde dann (bei deaktiviertem Avast) sich die Malware herunterladen und starten.

 

Badmail

Allerdings dürfte den allermeisten Kunden bereits das seltsame Format dieser E-Mail aufgefallen sein: unter anderem wurde Sie von einem (Fake-) GMX-Konto versendet. Weiter sind mittig zentrierte Schreiben sehr ungewöhnlich und auch die vielen Schreibfehler machen die Mail schnell verdächtig. Auch bei der Aufforderung Avast auszuschalten, sollten bei jedem Kunden sofort die Alarmglocken läuten.

Wie oben bereits erwähnt, sind Avast Kunden selbstverständlich gegen diesen Angriff geschützt. Die herunterzuladende Datei wird als Win32:Malware-gen blockiert. Die entsprechende URL wird ebenfalls durch den Netzwerkschutz blockiert.

 

Grundsätzlich gilt hier wie auch in anderen Fällen:

  • Avast! würde Kunden nie dazu auffordern, das Produkt zu deaktivieren.
  • Downloaden und starten Sie nie Software aus unbekannten Quellen – schon gar nicht mit deaktiviertem Antivirus!
  • Achten Sie bei derartigen Schreiben auf die Form. Sehr häufig sind Schreibfehler und Satzbau in derartigen Phishing E-Mails fragwürdig.
  • Seien Sie extrem misstrauisch, wenn Sie Kennwörter, Kontodaten angeben sollen. Speziell, wenn Sie per E-Mail dazu aufgefordert werden.
  • Schauen Sie im Zweifel immer auf das Support-Forum des Herstellers oder auf seine Homepage. Finden Sie dort keinen Hinweis auf ein Problem handelt es sich vermutlich eher um den Versuch das System mit Malware zu infizieren.
Categories: Unkategorisiert Tags:
Comments off
6. März 2012

Wer liest schon das Kleingedruckte

Am vergangenen Freitag hat die Bundesregierung mit großer Mehrheit ein Gesetz gegen Kostenfallen und Abo-Fallen, die sogenannte „Button-Lösung“, beschlossen. Seiten wie www.software-und-tools.de haben arglose und nicht selten wehrlose Surfer bisher häufig um einen dreistelligen Betrag erleichtert, während der Surfer der Meinung war ein Freeware-Programm herunterzuladen. Mich freut dieses neue Gesetz – auch wenn es Jahre zu spät kommt und wohl auch nicht umfassend genug ist.

Eine relativ  neue Masche, die leider auch von vermeintlich seriösen Anbietern verwendet wird um mit ahnungslosen Surfern Geld zu verdienen, möchte ich heute am Beispiel der Internetseite www.winload.de vorstellen, die vielen Benutzern im deutschsprachigen Raum bekannt ist.

 

Wer aktuell über das Portal www.winload.de eine Software herunterlädt muss sehr genau lesen was weiter unten ganz unscheinbar auf der Download-Seite steht – die meisten Surfer werden jedoch gar nicht soweit scrollen. Wer einfach den „Download“ Button klickt erlebt eine unangenehme Überraschung. Nach der Installation sind die Einstellungen für Homepage und Suchanbieter im Browser geändert – ohne jegliche Abfrage im Setup-Programm. Darüber hinaus wird ebenfalls ungefragt eine Browser-Toolbar installiert, deren Lizenzbedingungen es dem Betreiber erlauben:

  • Die Standard-Suchmaschine im Browser zu verändern
  • Die Homepage des Browsers zu ändern
  • Die Funktionen der 404-Seite bei Fehleingaben in der Adressleiste des Browsers zu ändern
  • Zusätzliche Suchdienste auf dem Rechner zu installieren
  • Updates auf dem Rechner zu installieren
  • Dem Benutzer Benachrichtigungen zu schicken
  • Informationen über den Standort des Benutzers zu übermitteln
  • Informationen über die sozialen Netzwerke (z.B. Facebook) des Benutzers zu übermitteln

Nach unseren Tests macht der Anbieter dieser Toolbar davon auch Gebrauch! Die Browser-eigenen Schutzmechanismen wie z.B. die Abfrage, ob der Benutzer die neue Toolbar verwenden will, werden dabei umgangen. Die Toolbar und die Änderungen im Browser bleiben auch dann erhalten, wenn der Benutzer die neu heruntergeladene Software, die er natürlich (fälschlicherweise) für den Übeltäter hält, deinstalliert. Eine Deinstallation der Toolbar über das mitgelieferte Deinstallationsprogramm war übrigens unter Windows 7 Ultimate 64 Bit erfolglos.

Wir von AVAST wünschen uns, dass das Gesetz gegen Kostenfallen und Abo-Fallen erweitert wird. Ein Endkunde will weder, dass sein Konto geplündert wird noch will er, dass sein PC unter der Vorspielung falscher Tatsachen mit dubiosen Toolbars ausgestattet wird, die ihn fortan mit unerwünschter Werbung versorgen und seine Facebook-Daten weitergeben. Bis der Gesetzgeber auch hier reagiert erkennen wir derartige Downloads als Malware – denn genau das ist es in den Augen unserer Benutzer.

Screenshot nach unten gescrollt

Screenshot nach unten gescrollt

 

Categories: Unkategorisiert Tags:
Comments off