Sicherheitsexperten sind auf eine weltweit verbreitete Adware namens „Fireball“ gestoßen. Das Programm kann nicht nur zum Ausspionieren, sondern auch zum Herunterladen und Installieren von Malware eingesetzt werden. Wenn die Zahlen stimmen, dann sind sie alarmierend: Global sollen bereits mehr als 250 Millionen Computer infiziert sein! Wir klären, ob auch ihr euch Sorgen machen müsst.

Die Sicherheitsforscher des israelischen Software-Unternehmens Check Point Software Technologies Ltd. sind auf die flächendeckende Verbreitung der potenziell hochgefährlichen Adware Fireball aufmerksam geworden. Betroffen sind nicht nur private PCs, sondern auch Unternehmensnetzwerke. Hinter der Software und der damit zusammenhängenden Operation soll Rafotech stecken, eine Firma aus China mit Sitz in Peking, die auf digitale Vermarktung und Werbung spezialisiert ist.

Wie wird Fireball verbreitet?

Fireball wird den Sicherheitsexperten zufolge als zusätzlicher Download zu anderer Software angeboten. Dieses weit verbreitete Vorgehen nennt sich „Bundling“ und ist im Zusammenhang mit Fireball beispielsweise bei den von Rafotech angebotenen Programmen Mustang Browser (angeblich besonders schnell) und Deal Wifi (verspricht überall kostenloses WLAN) der Fall. Auch die Programme Soso Desktop und FVP Imageviewer können Fireball im Zuge der Installation mitbringen.

Wenn euch diese Programme überhaupt nichts sagen, dann seid ihr in guter Gesellschaft: keines der von Check Point beispielhaft genannten Programme ist in unseren Breitengraden besonders beliebt, bekannt oder auch nur annähernd relevant. Demzufolge sollte das Risiko eigentlich überschaubar sein, sich Fireball dadurch einzufangen. Trotzdem ist es natürlich möglich, dass auf deutschsprachigen Downloadportalen ganz andere Programme mit Fireball als Dreingabe zum Download stehen.

Wir empfehlen ohnehin grundsätzlich, nicht blindlings jede x-beliebige, vermeintlich sinnvolle Anwendung herunterzuladen und immer auch jene standardmäßig gesetzten Häkchen im Download-Dialog zu entfernen, die euch weitere „hilfreiche“ Programme für lau aufquatschen wollen.

Ob von den von Rafotech (bzw. dort RAFO Technology) im Google Play Store und im Apple App Store angebotenen Games (Cutie Clash, Cutie Riot, Piggy Boom und Zombie Girls) ebenfalls eine potenzielle Gefahr ausgeht oder diese „nur“ dem Sammeln von Nutzerinformationen dienen, lässt sich momentan nicht abschließend bewerten.

Was richtet Fireball an?

Fireball manipuliert die Browser der befallenen Geräte, dieses Prozedere ist als „Browser-Hjacking“ hinlänglich bekannt. Mit Herunterladen bzw. Installation des Programms akzeptiert der Nutzer, dass Fireball mit umfassenden Rechen ausgestattet wird. Ab diesem Zeitpunkt ist es dem Programm möglich – vom Nutzer in der Regel unbemerkt – gefälschte Startseiten und Fake-Suchmaschinen aufzurufen und neben jeder Menge Werbung (bringt Rafotech Cash) auch sogenannte Zählpixel (tracking pixel) zu verbreiten, mit denen die unfreiwilligen und nichtsahnenden Nutzer ausspioniert werden können.

Wie erfolgreich Rafotech das Browser-Hijacking betreibt, verdeutlicht Check Point anhand des Rankings einiger Fake-Suchmaschinen von Rafotech: 14 dieser Fake-Suchmaschinen platzierten sich weltweit unter den Top 10.000 der beliebtesten Websites, einige von ihnen schafften es von Zeit zu Zeit sogar unter die Top 1.000 weltweit.

Neben unerwünschter Manipulation und Spionage birgt Fireball außerdem ein erschreckend großes Potenzial für gefährliche Malware-Verbreitung, denn das Programm kann im Hintergrund Schadcode auf infizierte Rechner laden und so nicht nur einzelne Systeme, sondern auch ganze Netzwerke kompromittieren!

Wer ist betroffen?

Laut Check Point sollen weltweit insgesamt mehr als 250 Millionen Rechner infiziert sein, wobei Indien mit 25,3 Millionen Geräten (entspricht 10,1%) und Brasilien mit 24,1 Millionen Geräten (9,6%) besonders stark betroffen seien. Auch in Mexiko und in Indonesien ist die Zahl mit 16,1 Millionen (6,4%) bzw. 13,1 Millionen (5,2%) überdurchschnittlich hoch. In den USA sind es immerhin noch 5,5 Millionen infizierte PCs (2,2%).

Für Deutschland nennt Check Point bisher zwar leider keine Gesamtzahl betroffener Geräte, in fast 10% der Unternehmensnetzwerke in Deutschland sei jedoch mindestens ein PC mit der Fireball Malware entdeckt worden. Weltweit soll die Quote bei etwa 20% liegen, wobei abermals Indonesien (60%), Indien (43%) und Brasilien (38%) besonders schlimm betroffen sind. In den USA liegt die Quote bei 10,7%, in China bei 4,7%.

Wie kann ich feststellen, ob Fireball meinen Rechner infiziert hat?

Falls ihr beim Aufrufen eures Browsers nicht selber schon aufgrund von Veränderungen stutzig geworden seid, solltet ihr folgende Checkliste einfach mal durchgehen und jeden Punkt überprüfen:

• Wird die korrekte Startseite angezeigt?
• Könnt ihr die Startseite ändern?
• Ist die richtige Suchmaschine eingestellt?
• Lässt sich die Suchmaschine aussuchen/wechseln?
• Falls vorhanden: Habt ihr alle Browser-Erweiterungen selbst installiert?

Sobald ihr eine oder mehrere dieser Fragen mit „Nein“ beantwortet, so könnte dies ein Hinweis darauf sein, dass euer Rechner infiziert ist!

Bedenkt: Fireball wird aufgrund seiner Funktionsweise nicht automatisch als Malware bzw. Schädling klassifiziert. Das Vorhandensein eines Antiviren-Programms alleine bedeutet noch keinen 100%igen Schutz.

Was kann ich tun, um Fireball loszuwerden?

Wenn ihr Fireball loswerden möchtet, gelten im Prinzip die gleichen Regeln wie für jedes andere PUP (potentially unwanted programm = potenziell unerwünschtes Programm) auch.

Schritt 1: Zunächst muss Fireball deinstalliert werden. Ruft dazu die Systemsteuerung in Windows 10 auf und wählt den Punkt „Programme und Features“. Sucht Fireball in der Liste der aufgeführten Programme und deinstalliert es. Findet ihr kein Programm mit dem Namen, so haltet in der Spalte „Herausgeber“ Ausschau nach Rafotech, dem Urheber des Übels.

Schritt 2: Ruft anschließend in euren Browser-Einstellungen die Seite auf, wo die Browser-Erweiterungen verwaltet werden und entfernt dort alle ungewollten oder verdächtig erscheinenden Erweiterungen.

Schritt 3 (optional): Wenn ihr auf Nummer sichergehen wollt, dann scannt euer System mit einer Anti-Malware- oder Anti-Adware-Software. Es ist nämlich möglich, dass Fireball irgendwo noch ein paar Dateien versteckt hat, die eine unvollständige Installation oder ein (nur teilweise) entferntes Programm erkennen und fehlende Dateien erneut herunterladen.

Im Netz finden sich unzählige kostenlose Programme, die euch beim Aufspüren eines PUP oder beim Deinstallieren eines unerwünschten Programms helfen können. Solltet ihr euch im Umgang mit derlei Programmen nicht sicher fühlen, dann formuliert eure Frage in der Google Suche, auch Foren wie www.trojaner-board.de sind ein guter Startpunkt, um euer Problem ausführlich zu schildern und schnelle Hilfe zu bekommen.

Adware? Grayware? Spyware? Malware? PUP!

Egal ob man Fireball nun als Adware, Grayware, Spyware oder Malware klassifiziert, es ist (in den allermeisten Fällen sicherlich) unerwünscht und birgt als Backdoor zudem das Risiko, noch schlimmeren Programmen Tür und Tor zum heimischen System oder gar zum Unternehmensnetzwerk zu öffnen. Aufgrund programmseitig implementierter Tarnmechanismen und weil es ja vom Nutzer „gewollt“ installiert wird, wird es von Antivirenprogrammen nicht zwangsläufig automatisch erkannt.

Allerdings braucht jetzt niemand in Panik zu verfallen, auch wenn die Berichterstattung mancherorten den Anschein erweckt. Nichtsdestotrotz könnt ihr die möglicherweise weltweite Fireball-Verbreitung ruhig zum Anlass nehmen, euren Rechner mal wieder unter die Lupe zu nehmen. Vielleicht findet ihr in dem Zuge ja auch andere unerwünschte Software.

via mobilegeeks, silicon und check point