Download.com der Verbreitung von Malware beschuldigt
Statt Open-Source-Software präsentierte CNet Anwendern zunächst ein eigenes Donwload-Tool, das eine Toolbar im Browser installiert. Einige Virenscanner erkennen darin Malware.
- Daniel AJ Sokolov
- Daniel Bachfeld
Der Gründer des Nmap Projekts beschuldigt das Portal Download.com von CNet der Verbreitung von Malware. Außerdem würden Urheberrecht und Markenrecht verletzt. Auch Microsoft bekommt sein Fett ab: Es sei eine Schande, dass Microsoft für dieses Verhalten bezahle, sagt Nmap-Gründer Gordon Lyon, bekannt unter seinem Pseudonym Fyodor Vaskovich. Er sucht nun in den USA einen einschlägig erfahrenen Anwalt. Nmap ist Open-Source-Software zur Erkundung und Darstellung von Computer-Netzwerken, die etwa für Sicherheits-Audits genutzt wird. Sie läuft auf vielen verschiedenen Plattformen.
CNet bietet Nmap in Versionen für Windows, Linux und Mac OS X zum Download an. Anstatt der Windows-Version von Nmap wurde bis vor Kurzem eine gleichgroße .exe-Datei übermittelt. Lehnte der Nutzer nicht ab, wurde damit eine "StartNow" genannte Toolbar installiert und der Browser adaptiert: MSN wurde zur Startseite und Bing zur bevorzugten Suchmaschine. Im Anschluss wird der eigentliche Nmap-Installer heruntergeladen und ausgeführt.
Heise security konnte ähnliches Verhalten bei einem vorgeblichen Installer einer Malsoftware für Kinder beobachten. Die von Download.com bezogene Datei wollte die Babylon-Toolbar installieren und eine gleichnamige Startseite sowie Suchmaschine als Standardeinstellung in den Browser einbauen (siehe Screenshots). Immerhin erforderten die Sicherheitseinstellungen im Internet Explorer 9 eine manuelle Aktivierung der Babylon-Toolbar. In Chrome verbog die Software die Suchfunktion ebenfalls auf Babylon.
Eine kurze Google-Suche zeitigte zahlreiche Hilferufe von Anwendern, die sich ungewollt Babylons Toolbar und/oder Browsereinstellungen eingefangen haben und mit der Entfernung Probleme haben – auch in CNet-Foren.
Nmap wird unter einer eigenen Abwandlung der GNU Public License 2 vertrieben. Es wird ausdrücklich festgehalten, dass fremde Programme zur Installation von Nmap als Derivate von Nmap gelten und damit besonderen Bedingungen unterliegen. Diese hat CNet nicht eingehalten, weshalb Fyodor das Urheberrecht verletzt sieht. Allerdings enthält die übermittelte .exe-Datei Nmap gar nicht, sondern lädt dieses Programm erst später herunter.
Fyodor sieht auch das Markenrecht verletzt, denn versprochen wird der Download von Nmap, während tatsächlich zunächst eine andere Datei geliefert wird. Zudem wurde im fremden Installer der Begriff Nmap angezeigt. Schließlich stellt Fyodor auch eine mögliche Verletzung des US-amerikanischen Computer-Missbrauchs- und Betrugs-Gesetzes (Computer Fraud and Abuse Act) in den Raum. "Das schlimmste ist, dass die User glauben werden, wir (das Nmap Projekt) hätten ihnen das angetan", so der Programmierer.
Laut FAQ von CNet wird das Installer-Verfahren seit Juli 2011 für verschiedene Windows-Programme eingeführt. Prominenter Betroffener war im August der Mediaplayer VLC, wobei ebenfalls Babylon seine Finger im Spiel hatte. Rechteinhaber können per E-Mail der Umgarnung widersprechen, wonach CNet eine "sorgfältige Einzelfallprüfung" in Aussicht stellt. Ein direkter Link zur eigentlich gewünschten Software wird nur für registrierte und eingeloggte User unterhalb des "Download Now"–Buttons angezeigt. An anderer Stelle verspricht der Portalbetreiber nach wie vor, jede Software getestet und für Adware-frei befunden zu haben.
Fyodor hat den fremden Installer mit UPX dekomprimiert und am 5. Dezember bei VirusTotal von rund 40 Virenscannern untersuchen lassen. Zehn Schutzprogramme schlugen an, sechs von Ihnen bezeichneten den Installer als Trojaner. Heute, zwei Tage später, schlugen noch sieben Virenschützer Alarm, aber nur noch zwei sprechen von einem Trojaner.
Stellungnahmen von CNet oder dessen Eigentümer CBS Interactive respektive Microsoft liegen bislang nicht vor. (dab)