Browser-Erweiterungen, die niemand haben will, … aber jeder hat!

Zurzeit gibt es sehr viele Browser-Erweiterungen auf dem Markt. Allein für Firefox wurden über vier Milliarden Add-Ons heruntergeladen. Aber nicht jede Erweiterung ist den Anwendern auch wirklich eine Hilfe. Die Liste der Namen dieser Add-Ons ist lang: Browsefox, Swiftbrowse, Betterbrowse, Browsesmart, Browseburst … Alle haben etwas gemeinsam: Die Anwender wollen sie nicht und sie können nur schwer manuell vom Computer entfernt werden.

Hier, bei Avira, haben wir diese Browser-Erweiterungen besonders aufmerksam überwacht, damit wir unsere Kunden davor warnen und besser schützen können. Wir haben sehr viel nachgeforscht, die Ergebnisse sorgfältig analysiert und sie schließlich in die Entwicklung einfließen lassen. Das bedeutet, wir haben die Geschwindigkeit des globalen Wachstums dieser Erweiterungen nachverfolgt, wir haben spezielle Reparaturroutinen für unser AIRS (Avira Intelligent Repair System) erstellt und unsere Engine-Erkennung angepasst, um diese Art von unerwünschten Browser-Erweiterungen zu finden.

Mit dem Engine-Erkennungsmuster „Adware/Browsefox.Gen‟, das in der Engine-Version 8.3.24.22 enthalten ist, gelang uns schließlich der Durchbruch. Die ersten Ergebnisse sind unglaublich:

Seit dem Release der Engine-Version konnten wir über 20 Millionen Funde in der „Avira-Welt“ verzeichnen. Des Weiteren fanden wir neue Informationen über die Verbreitung dieser Erweiterungen: Während unserer ursprünglichen Nachforschungen konnten wir eine extreme Ausbreitung in Deutschland feststellen. Nach dem Release der generischen Erkennung jedoch beobachteten wir, dass diese unerwünschten Erweiterungen in vielen weiteren Regionen der Welt installiert waren. Jetzt wissen wir, dass die Verbreitung der schädlichen Add-Ons global und interaktiv stattfindet.

Weltweite Erkennung von Browser-Erweiterungen

Was bewirken diese Browser-Erweiterungen eigentlich genau?

Ihr wichtigstes Ziel ist es natürlich Geld zu machen. Dies geschieht normalerweise durch das Einblenden von unerwünschter Werbung auf Ihrem Computer. Wenn Sie auf diese Angebote eingehen und etwas kaufen, werden Ihnen Gutscheine angezeigt. Und genau so verdienen die Anbieter ihr Geld ‒ mit jeder zusätzlichen Werbung nehmen sie etwas ein.

Werbung der Browser-Erweiterungen

Die Liste derer, die diese Technologie verwenden, ist lang. Sehr lang, um genau zu sein. Wenn Sie sich jedoch einige der „offiziellen“ Webseiten ansehen, erkennen Sie schnell, dass sie alle miteinander verbunden sind. Sie sind im selben Stil aufgebaut und haben dieselben Optionen. Nur der Name des Produkts ändert sich und auch die Fotos sind auf jeder Webseite anders …

Offizielle Browser-Erweiterungsseiten

Interessant ist auch das Wort „offiziell“. Wir haben versucht, die Unternehmen und Personen ausfindig zu machen, die sich hinter diesen Webseiten verstecken. Versuchen Sie es doch auch einmal. Sie werden feststellen müssen, dass es keine offiziellen Kontaktadressen gibt.

Browser-Erweiterungen Kontaktadresse

Wie gelangen solche Browser-Erweiterungen auf den Computer?

Nun, meistens werden sie als Third-Party-Software in Installationen anderer Programme mit installiert. Das Ganze könnte zum Beispiel so aussehen: Sie möchten einen neuen Internet-Browser einrichten, geben den Namen in die Suchmaschine Ihrer Wahl ein und wählen das erste Angebot aus. Sie erhalten ein Installationsprogramm und bemerken nicht, dass es nicht von einer offiziellen Webseite stammt. Wenn Sie die Installation des Browsers starten, wird auch die Erweiterung mitinstalliert, vollkommen unauffällig. Die Komponenten der Erweiterungen verhalten sich immer gleich: Sie erstellen in den folgenden Verzeichnissen neue Ordner auf Ihrem Computer. Hier ein Beispiel mit der Erweiterung „BrowseBurst“:

%PROGRAM FILES%\BrowseBurst
\bin
utilBrowseBurst.exe
BrowseBurst.BrowserAdapter.exe
FilterApp_C64.exe
BrowseBurst.PurBrowse64.exe
BrowseBurst.PurBrowse.exe
\BrowseBurst
updater.exe

Auch in der Windows-Registry werden einige Änderungen vorgenommen:

HKLM\Software\BrowseBurst
HKLM\Software\Wow6432Node\BrowseBurst
HKLM\Software\Microsoft\Internet Explorer\Approved Extensions
Wert: %CLSID%
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{%CLSID%}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BrowseBurst
HKLM \SYSTEM\CurrentControlSet\services\%ExtensionName%

Die Erweiterung kann Optionen (Browser Helper Object) enthalten, die sie ständig in den Arbeitsspeicher lädt. Darum ist die Kombination aus Erkennung und Reparaturroutine mit dem AIRS so wichtig.

Wenn Sie mehr über das Verhalten von Browser-Erweiterungen erfahren möchten, finden Sie hier eine detaillierte Beschreibung, die unsere Virenforscher angelegt haben:

Adware/Browsefox.Gen: http://www.avira.com/de/support-threats-summary/tid/8495/tlang/de

Dieser Artikel ist auch verfügbar in: Englisch

Team Leader Virus Lab Disinfection Service