Digital Life
04.06.2017

Gefährliche Adware infiziert über 250 Millionen Computer

Die Adware Fireball hat ihren Ursprung in China. Sie manipuliert den Browser, spioniert User aus und kann nach Belieben Malware auf dem Rechner installieren.

Das IT-Security-Unternehmen Check Point hat mit Fireball eine Adware entdeckt, die sich bislang unbemerkt ausgebreitet hat. Diese sei besonders gefährlich, da sie nicht nur den User ausspioniert, sondern auch auf infizierten Computern Malware nachladen und den Rechner übernehmen kann.

Fireball wird von der chinesischen Marketing-Agentur Rafotech gesteuert, die ihren Sitz in Peking hat. Wie viele andere Adware auch, wird sie mit anderen Programmen, meist kostenlose Software, mitinstalliert. Im ersten Schritt übernimmt sie den Browser und ändert die Standard-Suchmaschinen und Websites in Fake-Versionen. Diese Fake-Versionen enthalten Zählpixel, um die Aktivitäten des Users nachzuverfolgen und dessen Daten zu sammeln.

Das Hauptproblem ist laut Check Point, dass Fireball nach der Infektion beliebigen Code auf dem Rechner ausführen kann. Derzeit wird das genutzt, um Browser-Plug-Ins automatisch herunterzuladen, die mehr Werbung anzeigen und zusätzliche Daten über den User sammeln. Es wäre aber auch durchaus möglich weitere Malware zu installieren. Dies ist vielleicht nicht unbedingt die Intention von Rafotech, allerdings könnten sich andere Cyberkriminelle zwischenschalten und Fireball nutzen, um ihre eigene Malware zu verbreiten.

250 Millionen infizierte Computer

Laut Check Point sind weltweit bereits über 250 Millionen Computer mit Fireball infiziert. Mit 25,3 Millionen ist Indien am stärksten betroffen, gefolgt von Brasilien (24,1 Millionen) und Mexico (16,1 Millionen). In den USA sind es 5,5 Millionen Geräte. Wie eine Weltkarte von Check Point zeigt, sind auch Österreich und Deutschland betroffen. Genaue Zahlen für diese Länder gab Check Point nicht bekannt.

Besonders problematisch ist laut Check Point, dass Fireball bereits in 20 Prozent aller Firmennetzwerke zu finden ist. In den USA und Europa soll jedes zehnte Netzwerk betroffen sein. In Indonesien sind es sogar 60 Prozent aller Firmennetzwerke.

Check Point hat noch zwei weitere Indikatoren für die weite Verbreitung von Fireball ausgemacht. 14 Fake-Versionen der Suchmaschinen, die Fireball infizierten Computern aufzwingt, sind im Alexa-Ranking unter den 10.000 meistbesuchten Websites der Welt zu finden – einige davon sogar in den Top 1.000. Indikator 2: Rafotech selbst gibt an 300 Millionen User zu erreichen, also sogar noch mehr, als die von Check Point berechneten 250 Millionen infizierten Computer.

Unter dem Radar

Warum Fireball solange unentdeckt blieb, hat laut Check Point mehrere Gründe. Da es eine zumindest halb-legitime Software ist, die sich User freiwillig (wenn auch unbewusst) installieren, wird diese Adware nicht automatisch als Malware klassifiziert. Technisch sei Fireball außerdem sehr ausgereift. Sie nutzt Maßnahmen um nicht von Anti-Malware-Software erkannt zu werden und eine flexible Command-and-Control-Struktur, die das Außerkraftsetzen der Software durch das Blockieren der Steuerungsserver erschwert.

Um zu erkennen, ob der eigene Computer mit Fireball infiziert ist, rät Check Point folgendes: „Siehst du noch die Startseite im Browser die du eingestellt hast? Kannst du die Startseite ändern? Weißt du wie deine Standard-Suchmaschine aussieht und kannst du sie in deinem Browser ändern? Kannst du dich erinnern alle Erweiterungen, die in deinem Browser vorhanden sind, installiert zu haben? Falls die Antwort auf eine oder mehrere Fragen nein ist, ist dein Computer möglicherweise infiziert.“

Fireball entfernen

Um Fireball zu entfernen, muss die Adware deinstalliert werden (bei Windows 10 unter Programme und Funktionen). Jetzt sollte das System mit einer Anti-Malware-Software und Anti-Adware-Software gescannt werden, um sicherzustellen, dass Fireball nicht weitere unerwünschte Programme heruntergeladen hat.

Danach sollten in allen verwendeten Browsern die Add-Ons, Erweiterungen und Plug-Ins deinstalliert werden, die Fireball installiert hat. Zum Abschluss empfiehlt Check Point alle Browser auf die Grundeinstellungen zurückzusetzen, damit die von Fireball eingestellten Weiterleitungen und andere Veränderungen rückgängig gemacht werden.