Die Tricks einer Fake-Download-Seite

Nicht etwa unter einer kunstfertig vernebelten russischen oder chinesischen Hacker-Domain, sondern unter «vlc.de» wird eine Adware-verseuchte Version des ansonsten guten VLC Media Players angeboten. Ein Leser liess sich auf einen Download ab der gefälschten Seite ein und meldete sich bei uns mit der Info, dass sich nach der Installation seine Suchmaschine und Browserstartseite verändert habe. Klarer Fall von Malware der Unterkategorie Adware.

Pikant: Sein Virenscanner (eine Bezahlversion von Avira) habe die Installation nicht verhindert. Was uns noch mehr zum Stirnrunzeln brachte: Wer bei Google nach «vlc» suchte, sah gestern noch die gefälschte Webseite als oberstes Suchresultat. Die Autorin hat die Domain bei Google gemeldet. Nun erscheint bei der Suche als Erstes zwar wieder die Original-Webseite (videolan.org), aber das Suchresultat mit der gefälschten VLC-Version befindet sich weiterhin auf der ersten Seite der Suchresultate. Hier sollte Google auf jeden Fall nachbessern. Die Original-Webseite des VLC Media Players befindet sich hier – und ausschliesslich hier: https://www.videolan.org/index.de.html.

Ungeübte Anwender dürften die unter «vlc.de» täuschend im orangen VLC-Design gestaltete Webseite fürs Original halten. Sogar der Domainname «vlc.de» wirkt echt und der Betreiber hat auch brav ein Zertifikat für «https» eingebaut. Dass es sich jedoch nicht um die Original-Seite handelt, steht in kleiner Schrift sogar drauf. Aber wer scrollt so weit herunter auf einer Webseite, die man für das Original hält? Eben.

Schaut man sich die Community-Wertungen der Domain bei «Web of Trust» (WoT) oder bei VirusTotal an, wird klar: Offenbar haben sich schon andere User über die Fake-Seite geärgert.

Unser Firefox mit dem installierten Add-on «uBlock Origin» hat uns schon gar nicht auf die Webseite lassen wollen. Grund: Badware, auch bekannt als Malware.

Dass der Betreiber dem Nutzer Adware unterjubeln will, schreibt er sogar selbst in den Text. Der steht allerdings nicht gross und gut lesbar neben dem Download-Knopf, sondern im Kleingedruckten auf der «Lizenz»-Seite. Und auch die liest logischerweise niemand, der davon ausgeht, sich auf der Original-Webseite zu befinden.

Der Wortlaut: «In diesem Paket ist Zusatzsoftware enthalten, welche nicht werden muss. Wenn Sie die Zusatzsoftware nicht installieren möchten, wählen Sie dazu bei der Installation die Option "Benutzerdefiniert" aus und haken alle Komponenten ab, welche nicht installiert werden sollen». 

Weiter steht da, fette Kennzeichnung von uns: «Die Software wird Veränderungen an Ihrem PC vornehmen. Insbesondere wird Ihre Startseite des Browsers verändert, es werden Symbole auf dem Desktop abgelegt / verändert sowie ein Updater installiert. Der Updater kann Software nachladen». 

Ein offensichtlicher Kniff, um Beschwerden und Klagen zu umgehen. Ein «Nachladen von Software» kann theoretisch alles heissen, bis hin zum Nachladen zerstörerischer Schädlinge, Spyware oder Erpressungstrojaner. Der Betreiber hat offenbar noch mehr Open-Source-Programme im «Angebot», denn diese Domains gehören ebenfalls ihm: «open-office-download.de», «thunderbird-download.de» und «pdf-drucker.de». Auf der «vlc.de»-Domain bietet er auch das Open-Source-Pack-Programm 7zip sowie das Bildbearbeitungsprogramm «The GIMP» an.

Hier noch als kleiner Dienst am Leser die Liste der offiziellen Download-Domains der erwähnten Open-Source- und Gratis-Programme: 

• 7-Zip (Packprogramm): https://www.7-zip.org/
• PDF Creator: https://de.pdfforge.org/pdfcreator
• Mozilla Thunderbird: https://www.thunderbird.net/de/
• Apache OpenOffice: https://www.openoffice.org/de/
• The GIMP: https://www.gimp.org/
• VLC Media Player: https://www.videolan.org/index.de.html

Ohne die unerwünschte Ladung Adware, die es bei «vlc.de» und wohl auch bei anderen Fake-Download-Seiten gibt, wären diese Anwendungen nämlich durchaus zu empfehlen.