Betrüger fälschen Anti-Malware-Tool von Microsoft

Die Scareware-Familie Win32/FakeAV wird teilweise unter Fantasienamen verbreitet, zum Teil imitieren die Programmierer auch bestehende Security-Produkte. Derzeit werden auf einigen Internetseiten Varianten von FakeAV verbreitet, die sich als Microsofts "Tool zum Entfernen bösartiger Software" ausgeben. Sie zeigen nicht nur vorgetäuschte Virenfunde an, sondern machen auch noch Werbung für ein dubioses Office-Update.

Der Software-Anbieter CA (Computer Associates), Hersteller von CA Antivirus, warnt in seinem Security Advisor Research Blog vor diesen FakeAV-Varianten. Wird das Programm gestartet, das etwa über Web-Seiten mit vorgetäuschten Online-Scans verbreitet wird, zeigt es im System-Tray ein grünes Schild und eine erste Warnmeldung an. Nach einem vorgeblichen Scan der Festplatte präsentiert es im Gewand von Microsofts Anti-Malware-Tool die vermeintlichen Schädlingsfunde. Die Schaltfläche "Finish" (Beenden) öffnet ein Werbefenster für einen Online-Shop. Dieser gibt vor, bekannte Antivirusprodukte von Symantec/Norton und McAfee anzubieten. Wer hingegen auf "Cancel" (Abbrechen) klickt, erhält eine neue Warnmeldung im System-Tray, die ihn zum Kauf von Antivirusprodukten auffordert. Diese FakeAV-Variante zeigt auch eine Warnmeldung an, wenn bestimmte P2P-Programme gestartet werden. Dazu gehören Bearshare, Forstwire, Limewire, Shareaza und andere. Diese Meldung enthält einen Schreibfehler ("application can damadge your computer") und verkündet, das Programm werde gelöscht.

Weitere Schreibfehler finden sich in einer Imitation des Windows Sicherheitscenters und dessen Meldung im System-Tray. Hier heisst es "Antivisrus software not found". Nach dieser Meldung öffnet sich eine Nachahmung des Sicherheitscenters. Diese zeigt an, dass "Virus Protection" deaktiviert sei - die Schaltfläche "Recommendations" (Empfehlungen) führt zu einer inzwischen nicht mehr erreichbaren Website, die wiederum vorgab Antivirusprodukte zum Kauf anzubieten. Doch damit nicht genug. Das Scareware-Programm zeigt beim Öffnen von Microsoft Word auch eine Meldung an, die ein angebliches Update für Microsoft Office anpreist. Ein Klick auf "OK" öffnet eine andere Seite auf der gleichen Website, auf der man das vermeintliche Update erwerben soll.

Solange diese Scareware nur über englische Meldungen verfügt, ist es für deutschsprachige Benutzer relativ einfach, die Fälschungen zu entlarven. Microsofts echtes "Tool zum Entfernen bösartiger Software" zeigt natürlich seine Meldungen in deutscher Sprache an - und dies in aller Regel ohne Tippfehler.