Sieh mal, wer da horcht

Die Webseite toolster.de sieht auf den ersten Blick aus, wie eine harmlose Spieleseite mit jeder Menge kostenloser Software. Da gibt es Rubriken für Action, Arcade, Jump'n'Run und natürlich Listen mit Top10 Downloads. Die von heise Security geprüften zufällig ausgewählten AfterBurner3D, Zelda Classic und Super Mario World haben jedoch eines gemeinsam: Analog zum trojanischen Pferd der griechischen Sage dienen die Spiele nur als Lockvogel, mit dem sich arglose Surfer Unheil auf den Rechner holen. Norton Antivirus identifiziert den zum Vorschein kommenden Schädling folgerichtig als Backdoor.Trojan.

Doch der Reihe nach. Der Download des Hitparadenspitzenreiters "Super Mario World" bringt die Datei marioforever.exe auf den Rechner. Bei deren Start erscheint zunächst der vertrauerweckende Begrüßungschirm einer "ANTIVIR BOX" mit dem Versprechen, sie "hält diese Software virenfrei".

Deren Lizenzbestimmungen sind vor der Installation noch schnell zu bestätigen - doch halt! Da war doch was? Ja, genau, unter Punkt 5:

Der Nutzer erklärt seine Einwilligung in die Nutzung und Ausführung der zur Refinanzierung der durch AntiVir Box dargebotenen Dienstleistungen (insbesondere Analyse der Software auf Viren) mit der Installation der als rdirector bezeichneten Werbesoftware einverstanden. Der Nutzer stimmt insbesondere der Übergabe der Daten aus seiner Webbrowser Titelzeile zur Optimierung der Werbeanzeige an XCO LTD und deren Erfüllungsgehilfen bereit. Er erklärt sich damit einverstanden, frequentiell geregeltes Einblenden von Werbung in einem seperaten Browser-Fenster zu gestatten.

"Refinanzierung", "Werbesoftware", "Übergabe von Daten" - damit ist das weitere eigentlich schon klar: Nach der Zustimmung landet Adware auf dem System. Tatsächlich wird mscheck.exe nach C:\Windows\system32\ installiert, als Beigabe gibt's noch eine dubiose msmouse.dll.

Diese Datei entfaltet in der Folge heftige Aktivitäten auf dem System und nutzt auch regelmäßig den Netzwerkzugang. Dabei lädt sie diverse Dateien aus dem Netz nach, unter anderem eine namens "blacklist.txt" mit dem Text "http://www.heise.de". Was das zu bedeuten hat, bleibt jedoch ein Rätsel. Und schließlich erscheinen in regelmäßigen Abständen Werbeseiten, die man nie aufgerufen hat.

Den knuddeligen Klempner Mario bekommt der Anwender hingegen auch dann nicht zu Gesicht, wenn er immer brav auf "Ok" klickt, denn die Installationsroutine bricht mit einem Fehler ab. Dies geschah analog bei den anderen Spielen.

Eine kurze Analyse der EXE-Datei bringt Licht ins Dunkel:

$ file marioforever.exe
marioforever.exe: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit, InnoSetup self-extracting archive

Die Datei wurde folglich mit dem kostenlosen Inno Setup erstellt und lässt sich beispielsweise mit dem Inno Setup Unpacker auspacken. Das liefert das Installationsskript install_script.iss, ein Verzeichnis {sys} mit den beiden Plagegeistern und eines namens {app}. mscheck.exe und die von diesem zur Laufzeit geladene Bibliothek msmouse.dll identifizieren fast alle Virenscanner auf Virustotal als Trojaner und/oder Backdoor. Ausgerechnet Microsofts OneCare macht da eine Ausnahme.

Das {app}-Verzeichnis enthält drei Dateien:

• unzip.exe: Ein zip-Utility, das beim direkten Aufruf abstürzt und auch für die Fehlermeldung bei der Installation verantwortlich ist.
• mu.exe: Eine etwas mysteriöse Datei, deren systematische Suche im Registry-Zweig HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ vermuten lässt, dass es eine Art Uninstaller sein könnte.
  
• archive.zip: Ein intaktes ZIP-Archiv mit dem funktionsfähigen Spiel. Die darin enthaltene EXE-Datei startet einen weiteren Installer und präsentiert eigene Lizenzbedingungen.

In den Systemverwaltung unter "Software" fand sich ein Eintrag, um "marioforever.zip" wieder zu entfernen, der auch den Werberoboter aus dem System tilgte. Doch nicht jeder Anwender dürfte darauf kommen, dass er trotz der fehlgeschlagenen Installation etwas über die Systemverwaltung deinstallieren muss. Wer lieber selber zu Werke gehen will, kann die Dateien mscheck.exe und msmouse.dll in C:\windows\system32 löschen. Des weiteren verewigt sich mscheck.exe in mindestens zwei RUN-Schlüsseln der Registry, die man am besten mit dem Sysinternals-Tool autoruns aufspürt und deaktiviert beziehungsweise löscht.

Die Analyse zeigt somit, dass es sich bei dem "Mario Forever" von toolster.de um ein schnell und lieblos zusammengeklatsches Paket aus Programmen Dritter handelt, das nur einen Zweck erfüllen soll: Den Werberoboter unter die Leute zu bringen. Nicht einmal eine korrekte Installation der Spiele hat man dabei sicher gestellt. Dass zwei weitere zufällig ausgesuchte Spiele ähnliche Ergebnisse erbrachten, deutet auf System hin. Eine diesbezügliche Nachfrage von heise Security an die im Impressum genannte Mail-Adresse wurde bislang nicht beantwortet.

Zu bemerken ist allerdings, dass die Analyse von heise Security keinen Hinweis auf Aktivitäten ergab, die nicht durch die Lizenzbestimmungen abgedeckt wären, denen der Anwender zustimmen muss. Die fraglichen Dateien wurden allerdings auch nicht disassembliert, sondern lediglich über einen begrenzten Zeitraum in einer Laborumgebung beobachtet. Die Antiviren-Hersteller haben diese Analyse vermutlich gründlicher durchgeführt. Sie sortieren das Programm mscheck.exe recht einhellig in die Kategorie Schadsoftware ein.

Dass sich diese Lizenzbedingungen nicht etwa auf das angebotene Spiel beziehen, sondern auf den angeblichen Virenschutz der "ANTIVIR BOX", ist kein Zufall: Die von heise Security getesteten Archive enthielten samt und sonders Spiele aus anderen Quellen. Von dem versprochenen Virenschutz findet sich jedoch keine Spur. Für eine ohnehin selbstverständliche Vorabprüfung, ob eine zum Download angebotene Datei virenfrei ist, eine "Refinanzierung" zu verlangen, dürfte für viele Nutzer unter die Kategorie "Abzocke" fallen. Perfide ist auch, dass gerade der angebliche Virenschutz Programme installiert, die der Anwender sicher nicht freiwillig auf seinen PC laden würde und die echte Antivirenscanner als Schadsoftware brandmarken. (ju)