News 15.01.2019, 11:41 Uhr

Die Tricks einer Fake-Download-Seite

Über gefälschte Websites (z.B. «vlc.de») werden Open-Source-Programme angeboten, die durch eine Ladung Adware verseucht sind.
Nicht etwa unter einer kunstfertig vernebelten russischen oder chinesischen Hacker-Domain, sondern unter «vlc.de» wird eine Adware-verseuchte Version des ansonsten guten VLC Media Players angeboten. Ein Leser liess sich auf einen Download ab der gefälschten Seite ein und meldete sich bei uns mit der Info, dass sich nach der Installation seine Suchmaschine und Browserstartseite verändert habe. Klarer Fall von Malware der Unterkategorie Adware.
Pikant: Sein Virenscanner (eine Bezahlversion von Avira) habe die Installation nicht verhindert. Was uns noch mehr zum Stirnrunzeln brachte: Wer bei Google nach «vlc» suchte, sah gestern noch die gefälschte Webseite als oberstes Suchresultat. Die Autorin hat die Domain bei Google gemeldet. Nun erscheint bei der Suche als Erstes zwar wieder die Original-Webseite (videolan.org), aber das Suchresultat mit der gefälschten VLC-Version befindet sich weiterhin auf der ersten Seite der Suchresultate. Hier sollte Google auf jeden Fall nachbessern. Die Original-Webseite des VLC Media Players befindet sich hier – und ausschliesslich hier: https://www.videolan.org/index.de.html.
Ungeübte Anwender dürften die unter «vlc.de» täuschend im orangen VLC-Design gestaltete Webseite fürs Original halten. Sogar der Domainname «vlc.de» wirkt echt und der Betreiber hat auch brav ein Zertifikat für «https» eingebaut. Dass es sich jedoch nicht um die Original-Seite handelt, steht in kleiner Schrift sogar drauf. Aber wer scrollt so weit herunter auf einer Webseite, die man für das Original hält? Eben.
Hierfür muss man recht weit herunterscrollen
Schaut man sich die Community-Wertungen der Domain bei «Web of Trust» (WoT) oder bei VirusTotal an, wird klar: Offenbar haben sich schon andere User über die Fake-Seite geärgert.
Unser Firefox mit dem installierten Add-on «uBlock Origin» hat uns schon gar nicht auf die Webseite lassen wollen. Grund: Badware, auch bekannt als Malware.
Das Firefox-Add-on uBlock hätte den Zugang zur Fake-Webseite blockiert
Dass der Betreiber dem Nutzer Adware unterjubeln will, schreibt er sogar selbst in den Text. Der steht allerdings nicht gross und gut lesbar neben dem Download-Knopf, sondern im Kleingedruckten auf der «Lizenz»-Seite. Und auch die liest logischerweise niemand, der davon ausgeht, sich auf der Original-Webseite zu befinden.
Dass Adware installiert wird, steht eigentlich da. Also alles paletti, oder?
Der Wortlaut: «In diesem Paket ist Zusatzsoftware enthalten, welche nicht werden muss. Wenn Sie die Zusatzsoftware nicht installieren möchten, wählen Sie dazu bei der Installation die Option "Benutzerdefiniert" aus und haken alle Komponenten ab, welche nicht installiert werden sollen»
Weiter steht da, fette Kennzeichnung von uns: «Die Software wird Veränderungen an Ihrem PC vornehmen. Insbesondere wird Ihre Startseite des Browsers verändert, es werden Symbole auf dem Desktop abgelegt / verändert sowie ein Updater installiert. Der Updater kann Software nachladen»
Ein offensichtlicher Kniff, um Beschwerden und Klagen zu umgehen. Ein «Nachladen von Software» kann theoretisch alles heissen, bis hin zum Nachladen zerstörerischer Schädlinge, Spyware oder Erpressungstrojaner. Der Betreiber hat offenbar noch mehr Open-Source-Programme im «Angebot», denn diese Domains gehören ebenfalls ihm: «open-office-download.de», «thunderbird-download.de» und «pdf-drucker.de». Auf der «vlc.de»-Domain bietet er auch das Open-Source-Pack-Programm 7zip sowie das Bildbearbeitungsprogramm «The GIMP» an.
Hier noch als kleiner Dienst am Leser die Liste der offiziellen Download-Domains der erwähnten Open-Source- und Gratis-Programme: 
Ohne die unerwünschte Ladung Adware, die es bei «vlc.de» und wohl auch bei anderen Fake-Download-Seiten gibt, wären diese Anwendungen nämlich durchaus zu empfehlen.


Kommentare

Avatar
soundnet
16.01.2019
Hi Zuerst einmal mit einem Uninstaller (z.B. Geek) versuchen; oft lassen sich unerwünschte Ad-Programme normal entfernen. Danach Scan mit (z.B.) Malwarebytes Gruss aus dem Süden Fido

Avatar
Gaby Salvisberg
16.01.2019
Hallo tamaleus Sicherheitsexperten empfehlen, bei einem erheblichen Schädlingsverdacht die Daten zu sichern, die Festplatte zu formatieren und das Betriebssystem neu zu installieren. Dieser Empfehlung schliesse ich mich an. Der Grund: Gerade, wenn ein unerwünschtes Programm noch unbekannte Software nachladen kann, weiss man nicht, was dadurch alles eingeschleppt oder im System verändert worden ist. Man kann es sonst auch so versuchen, aber da bleibt halt immer ein Rest Unsicherheit, ob man damit alles erwischt hat: Tipps und Links gibts auch unter: https://www.pctipp.ch/news/betriebssysteme/artikel/virenjagd-so-schuetzen-sie-sich-richtig-und-kostenlos-88773/ Herzliche Grüsse Gaby

Avatar
tamaleus
19.01.2019
Hallo Gaby, hallo soundnet Vielen Dank für Eure Inputs. Gemacht habe ich jetzt folgendes, nachdem ich keinerlei Folgen gezeigt hatten, bzw ich nichts bemerkt habe, was natürlich auch nichts heisst. Aber sei's drum. Wir wollen froher Dinge sein ;-) - Deinstallation der VLC-Inst mit TotalUninstall (lizensiert und stets ausgezeichnete Erfahrungen gemacht. Kann ich wärmsten empfehlen, insbesondere dann, wenn TotalUninstall vor der betr. SW installiert war. Dann ist alles wieder weg. - Danke an Gaby auch für die Tipps wegen dem Check der Browser. Auch dort nichts Befremdliches oder Unbekanntes gefunden. - Auch Autostart unter AutoRuns alles okay - G DATA hat schon bei Download und Installation (von vlc.de) nicht reklamiert. Ebenso wenig bei Suchlauf über das ganze System. Daher tendiere ich dazu, lieber nicht wieder eine SW zu inst., die ich dann nachher nicht mehr brauche. - Komplette Neu-Inst. ist wegen Zeit & Aufwand diskussionslos. Das wäre der absolute Overkill bis ich alles wieder installiert und eingerichtet hätte. No way! Dann vorher noch ein Restore von Sektor-wise Image. Wäre 4 Wochen zurück alles verfügbar. - Logins (für jedes Account inkl. Web-Site, jede einzelne) m. E. unproblematisch. PWs nach Generator. Falls sonst weder von Euch noch sonst jemand ein Einwand kommt, würde ich Orig-SW von Orig-Site installieren und wieder zu Daily Business übergehen. Wäre vor allem Gaby so oder so noch für kurze Antwort dankbar. Anscheinden noch mal Glück gehabt!? Nochmals Dank & Gruss Euch beiden!

Avatar
Gaby Salvisberg
21.01.2019
Hallo tamaleus Falls sonst weder von Euch noch sonst jemand ein Einwand kommt, würde ich Orig-SW von Orig-Site installieren und wieder zu Daily Business übergehen. Wäre vor allem Gaby so oder so noch für kurze Antwort dankbar. Anscheinden noch mal Glück gehabt!? Wenn wirklich nichts Dubioses gefunden wurde und das System sich normal verhält, ist es gut möglich, dass du Glück gehabt hast. Herzliche Grüsse Gaby

Avatar
tamaleus
21.01.2019
Thanks. And over and out ;-)