Gefährliche Adware infiziert über 250 Millionen Computer
Dieser Artikel ist älter als ein Jahr!
Das IT-Security-Unternehmen Check Point hat mit Fireball eine Adware entdeckt, die sich bislang unbemerkt ausgebreitet hat. Diese sei besonders gefährlich, da sie nicht nur den User ausspioniert, sondern auch auf infizierten Computern Malware nachladen und den Rechner übernehmen kann.
Fireball wird von der chinesischen Marketing-Agentur Rafotech gesteuert, die ihren Sitz in Peking hat. Wie viele andere Adware auch, wird sie mit anderen Programmen, meist kostenlose Software, mitinstalliert. Im ersten Schritt übernimmt sie den Browser und ändert die Standard-Suchmaschinen und Websites in Fake-Versionen. Diese Fake-Versionen enthalten Zählpixel, um die Aktivitäten des Users nachzuverfolgen und dessen Daten zu sammeln.
Das Hauptproblem ist laut Check Point, dass Fireball nach der Infektion beliebigen Code auf dem Rechner ausführen kann. Derzeit wird das genutzt, um Browser-Plug-Ins automatisch herunterzuladen, die mehr Werbung anzeigen und zusätzliche Daten über den User sammeln. Es wäre aber auch durchaus möglich weitere Malware zu installieren. Dies ist vielleicht nicht unbedingt die Intention von Rafotech, allerdings könnten sich andere Cyberkriminelle zwischenschalten und Fireball nutzen, um ihre eigene Malware zu verbreiten.
250 Millionen infizierte Computer
© Check Point
Besonders problematisch ist laut Check Point, dass Fireball bereits in 20 Prozent aller Firmennetzwerke zu finden ist. In den USA und Europa soll jedes zehnte Netzwerk betroffen sein. In Indonesien sind es sogar 60 Prozent aller Firmennetzwerke.
Check Point hat noch zwei weitere Indikatoren für die weite Verbreitung von Fireball ausgemacht. 14 Fake-Versionen der Suchmaschinen, die Fireball infizierten Computern aufzwingt, sind im Alexa-Ranking unter den 10.000 meistbesuchten Websites der Welt zu finden – einige davon sogar in den Top 1.000. Indikator 2: Rafotech selbst gibt an 300 Millionen User zu erreichen, also sogar noch mehr, als die von Check Point berechneten 250 Millionen infizierten Computer.
Unter dem Radar
Warum Fireball solange unentdeckt blieb, hat laut Check Point mehrere Gründe. Da es eine zumindest halb-legitime Software ist, die sich User freiwillig (wenn auch unbewusst) installieren, wird diese Adware nicht automatisch als Malware klassifiziert. Technisch sei Fireball außerdem sehr ausgereift. Sie nutzt Maßnahmen um nicht von Anti-Malware-Software erkannt zu werden und eine flexible Command-and-Control-Struktur, die das Außerkraftsetzen der Software durch das Blockieren der Steuerungsserver erschwert.
Um zu erkennen, ob der eigene Computer mit Fireball infiziert ist, rät Check Point folgendes: „Siehst du noch die Startseite im Browser die du eingestellt hast? Kannst du die Startseite ändern? Weißt du wie deine Standard-Suchmaschine aussieht und kannst du sie in deinem Browser ändern? Kannst du dich erinnern alle Erweiterungen, die in deinem Browser vorhanden sind, installiert zu haben? Falls die Antwort auf eine oder mehrere Fragen nein ist, ist dein Computer möglicherweise infiziert.“
Fireball entfernen
Um Fireball zu entfernen, muss die Adware deinstalliert werden (bei Windows 10 unter Programme und Funktionen). Jetzt sollte das System mit einer Anti-Malware-Software und Anti-Adware-Software gescannt werden, um sicherzustellen, dass Fireball nicht weitere unerwünschte Programme heruntergeladen hat.
Danach sollten in allen verwendeten Browsern die Add-Ons, Erweiterungen und Plug-Ins deinstalliert werden, die Fireball installiert hat. Zum Abschluss empfiehlt Check Point alle Browser auf die Grundeinstellungen zurückzusetzen, damit die von Fireball eingestellten Weiterleitungen und andere Veränderungen rückgängig gemacht werden.
Kommentare