McAfees Reinigungs-Tool Stinger installiert heimlichen Wächter

Stinger ist ein Standalone-Tool von McAfee zur Malware-Entfernung; sein Einsatz erfordert keinen McAfee-Virenschutz. Trotzdem installiert es ohne Hinweis oder Rückfrage einen Hintergrund-Wächter. Die Software namens Raptor soll das System in Echtzeit auf verdächtiges Verhalten hin überwachen. Sie befindet sich im Betastadium; McAfee möchte dementsprechend auch keinerlei Garantie dafür übernehmen. Dennoch wird es zwangsweise installiert, sobald der Anwender Stinger startet und die Lizenzbedingungen akzeptiert – einen Hinweis auf Raptor sucht man dort allerdings vergebens. Der Hersteller plant allerdings, es in künftige Antivirenprodukte zu integrieren.

Zumindest auf McAfees Download-Seite ist die Aussage "Includes Raptor (BETA)" zu lesen. Dass dieses Programm allerdings auf dem PC installiert wird, nach der Benutzung von Stinger auf dem Rechner aktiv bleibt und permanent Daten an McAfee sendet, verschweigt der Hersteller dort geflissentlich. Erst wer dem "Includes Raptor"-Link folgt und dann wiederum auf "How to use Raptor (BETA)" klickt, landet auf einer Seite, auf der ein paar Fragen zu Raptor beantwortet sind. Warum ein heuristischer Wächter ausgerechnet mit einem Produkt verteilt wird, das ausschließlich dazu da ist, bereits befallene Systeme zu säubern, erklärt der Hersteller auch dort nicht.

Die Software soll es auf die Erkennung von Zero-Day-Angriffen abgesehen haben und dazu auch McAfees Cloud-Dienste nutzen und vor allem mit Informationen füttern. In den FAQs relativiert McAfee, dazu werden nicht komplette Dateien hochgeladen, sondern lediglich "behavioral traces". Das seien "ein paar Bytes an Informationen, die Raptor benötigt", um die verdächtigte Datei einschätzen zu können. Die Verhaltensspur enthalte neben Dateinamen und -pfad, Prozess-ID, Event und Betriebssystemversion auch eine zufällig erzeugte GUID des Systems. Wie Raptor entscheidet, ob es Informationen über einen Prozess in die Cloud schickt, erklärt der Hersteller dort nicht; auf eine Anfrage von heise Security hat McAfee noch nicht reagiert.

Die Software lässt sich nicht über die Funktion "Programme und Features" in der Systemsteuerung deinstallieren: Sie hat dort schlicht keinen Eintrag. Raptor vom Rechner zu werfen, ist dennoch einfach. Die Anwendung stellt ein Icon in den Windows-Tray, über dessen Kontextmenü sie sich entfernen lässt – darauf muss der Anwender allerdings erst einmal kommen. Im Test mit ein paar Betriebssystemen (Windows 7 Home x64, 8.1 Pro x64 sowie ein englisches 8.1 x86) waren nach der Deinstallation keine laufenden Prozesse oder Autostart-Einträge von Raptor mehr zu finden; lediglich ein leeres Programmverzeichnis blieb zurück.

Stinger ist vor einigen Tagen bereits aus einem ähnlichen Grund bei PortableApps.com rausgeflogen. Die Erklärung von PortableApps.com-Chef Haller, dass ein Dienst namens "McAfee Validation Trust Protection Service" installiert würde, konnten wir allerdings nicht nachvollziehen; ebenso war auf unseren Testsystemen die von Haller referenzierte Datei namens mfevtps.exe nicht zu finden. (jss)