Vorgetäuschte Sicherheitsapplikationen werden im Verborgenen heruntergeladen und auf dem PC des Anwenders installiert. Auf verschiedene Arten "warnen" sie den Nutzer unablässig vor einer angeblichen Infektion - in Wirklichkeit liegt jedoch keine Infektion vor oder die Malware wurde erst zusammen mit dem vorgetäuschten Sicherheitsprogramm installiert. Die Anwender erhalten das Angebot, gegen eine Gebühr das Upgrade von der "Free Trial"-Version auf die volle Funktionalität zu erhalten. Mehrere Tausend Internetbenutzer haben hier bereits nachgegeben und für ein angebliches Anti-Spyware-Produkt bezahlt, das keinerlei Leistung erbringt. Die Kosten bewegen sich dabei typischerweise in Größenordnungen von 50 US-Dollar pro Bestellung. Viele Anwender lassen zudem verständlicherweise ihre Kreditkarte sperren, sobald sie bemerken, dass die Software nutzlos ist und ein betrügerisches Unternehmen jetzt über die Kreditkartendaten verfügt. Weitere Unannehmlichkeiten und Verluste sind die Folge.
Die Installation der Programme erfolgt auf unterschiedliche Weise. So kann eine Windows-Schwachstelle (Exploit) vom Malware-Autor genutzt werden, um Software versteckt zu installieren, sobald der Anwender eine E-Mail öffnet oder eine Webseite aufruft. Bei einer anderen Methode werden Besucher von Webseiten mit Video-Inhalten dazu aufgefordert, einen zur Bilddarstellung angeblich benötigten Video-Codec herunterzuladen. Anstelle des Video-Codec wird jedoch ein gefälschtes Sicherheitsprogramm heruntergeladen. Pop-up-Banner-Werbung, die Anwender zur Installation "notwendiger" Software auffordert, bietet Malware-Programmierern einen weiteren Weg, Schädlinge auf Rechnern einzuschleusen.
Design und Bedienung der vorgetäuschten Sicherheitssoftware sind so angepasst, dass der Eindruck einer seriösen Demoversion entsteht. Für die häufigen Warnmeldungen werden unter anderem Pop-up-Fenster, manipulierte (hijacked) Browser-Startseiten und Desktop-Hintergründe sowie Pop-up-Meldungen aus der Schnellstartleiste verwendet. In vielen Fällen sind die angeblichen Warnungen aufgrund ihres Designs nur schwer von Microsoft Windows Alarmmeldungen zu unterscheiden. Die Inhalte der Nachrichten sind dabei immer ähnlich: Eine Viren- oder Spyware-Infektion wurde entdeckt und Abhilfe ist nur beim Kauf der Vollversion möglich. Zu den unzähligen gefälschten Software-Paketen gehören unter anderem Winfixer, SpywareQuake, ErrorSafe, ErrorGuard, SpyShield, ApyAxe, SpywareNuker sowie die aktuellen Spyhealer, DriverCleaner und SystemDoctor.
"Die Anzahl vorgetäuschter Sicherheitsprogramme steigt eindeutig", kommentiert George Moore, Threat Researcher bei Trend Micro. "Beim Download von Software müssen Anwender daher besonders vorsichtig sein. Darüber hinaus benötigen Nutzer eine aktuelle Sicherheitssoftware von einem bekannten und zuverlässigen Hersteller, um Systeme auch vor den immer raffinierteren Web Threats zu schützen."
Sicherheitstipps zum Schutz vor unseriösen Programmen
Trend Micro hat eine Reihe von Tipps zusammengestellt, mit denen Anwender die Risiken vorgetäuschter Sicherheitsprogramme minimieren:
- Anwender sollten ausschließlich Sicherheitssoftware von zuverlässigen Herstellern kaufen. Diese Lösungen können die meisten vorgetäuschten Sicherheitsprogramme erkennen und deren Installation verhindern.
- Wenn eine Infektion gemeldet wird, sollten Anwender immer eine zweite Meinung einholen, zum Beispiel von einem Online-Scanning-Service wie Trend Micro HouseCall (www.housecall.de).
- Vor dem Kauf von Software sollten sich Anwender über Online-Testberichte und Kunden-Feedback informieren. Für die Transaktionsabwicklung ist eine sichere Verbindung erforderlich, die mit einem "Schloss"-Symbol in der unteren rechten Ecke des Fensters gekennzeichnet wird.
- Zur Überprüfung der Vertrauenswürdigkeit kann die Software auch mit einer Schwarzen Liste unseriöser Programme abgeglichen werden, die von unabhängigen Analysten zusammengestellt wird (zum Beispiel Spyware Warrior, http://spywarewarrior.com/).