wer viren jagt | fängt sich welche ein

ein freund schrieb mir heute, dass er sich fünf viren auf seinem (wegen iPad nur noch selten benutzten) windowsrechner eingefangen hat. vier davon bekam er mit bordmitteln los, den fünften aber nicht. er nennt sich

plus-hd-9.1 crossrider

schicker name, oder sollte man sagen: flotter name, crossrider? im prinzip nistet sich plus-hd crossrider in die browser ein und meldet ungefragt an sein zuhause, was wir, die unbescholtenen surfer, gerade ansurfen. primär dient der virus dem gezielten liefern von werbung in den browser und wird deswegen etwas verharmlosend adware oder malware genannt. im grunde unterscheidet er sich aber nicht von einem klassischen trojaner, also einem virus, der ferngesteuert im PC verschiedenste dinge tun kann.

wenn man so etwas bei sich findet, reagiert man erregt und surft den nächstbesten link an, um die pest zu entfernen. ein solcher link führt zu:

remove-virusdiese webseite behauptet, virenschutzkompetenz zu besitzen.

die seite wirkt seriös, umfassend, gut dokumentiert, allerdings fällt auf, dass eine automatische übersetzung am werk war: “wir haben mehrere Testcomputern, die unter verschiedenen Betriebssystemen.”

die remove pc-virus-“experten” bieten auf ihrer seite zum plus-hd-virus zwei große grüne klickflächen an, die suggerieren, dass man so den virus los wird:

download-tooldas download-tool verspricht, den virus zu entfernen.

auch hier fallen wieder die übersetzungsfehler auf. klickt man auf diesen einladenden knopf, lädt windows ein programm herunter. man sollte immer, wenn man etwas herunterlädt, nachsehen, wie es heißt und von wem es ist, bevor man dann den download bestätigt. ich bestätige ihn nicht, sondern breche ab.

spyhunterdie webseite will ein programm namens spyhunter von enigmasoftware installieren.

die datei nennt sich spyhunter. wer oder was ist spyhunter? kurz nach “spyhunter problem” gesucht führt zu vielen seiten mit warnungen. unter anderem zu diesem blog:

spyhunter-abzockevermeintlich betrogene warnen vor der installation und vor dem kauf der vollversion von spyhunter.

angeblich – und ich habe hier keinen grund zum zweifeln – installiert also der virenentferner selbst viren, und das kostenpflichtig!

wer tut so etwas? beim herunterladen von spyhunter ist der name einer firma zu sehen, die die software angeblich programmiert hat: enigmasoftware.com. diese firma versteckt sich natürlich nicht, sondern bietet offensiv zum kauf an: spyhunter.

Registrant Name: COLORADO STARK
Registrant Organization: ENIGMA SOFTWARE GROUP USA, LLC
Registrant Street: 2643 GULF TO BAY BLVD
Registrant Street: SUITE 1560 #446
Registrant City: CLEARWATER
Registrant State/Province: FL
Registrant Postal Code: 33759
Registrant Country: US
Registrant Phone: +1.8883600646

ein mensch namens colorado stark hat demnach enigmasoftware.com registriert. herr stark ist laut linkedin in litauen zuhause, und siehe da, hier kann man sogar den umsatz der firma ablesen, angeblich eine halbe million euro:

Firmenkode 300604217
USt-IdNr. LT100003136219
Geschäftsführer Sergejus Nosokas
Adresse K. Donelaičio g. 62, LT-44248 Kaunas
Mobiltelefon Uab Enigma Software Group Lt Mobiltelefon
E-Mail Kontakt per email
Webseite http://www.enigmasoftware.com
Umsatz 2011: 289 620 – 579 240 EUR

schließlich zurück zum anfang: die webseite mit dem grünen knopf, der uns virenfreiheit verspricht und uns in diese falle gelockt hat: wem gehört sie? dazu hilft ein so genannte whois (gesprochen: who is?) suche, und die fördert zutage:

Domain Name: REMOVE-PCVIRUS.COM
Registrar URL: http://www.godaddy.com
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC

registriert hat die domain also godaddy.com, einer der größten webanbieter weltweit, mit adresse in arizona. die netzadresse von remove-pcvirus führt nach köln.

noch weiter zurück: wer hat den ausgangsvirus programmiert, also den plus-hd 9.1 crossrider? eine schnelle suche führt nach montréal, zu kimahri software, die wiederum zu yuna software gehört – beide ohne real- und webadressen. yuna software ist für ein plugin für den windows live messenger und für skype namens messenger plus. was dieser softwarezusatz tut, brauchen wir nicht zu hinterfragen (adware, und damit malware und damit schadprogramm).

ps.: ich kann hier keinen rat geben, außer: viel lesen, nicht zu schnell klicken.