Online-Betrüger sind derzeit überraschend erfolgreich mit dem Verbreiten einer modifizierten Version des Windows Movie Maker. Ihr Trick: Die Cyberkriminellen verlangen ein Entgelt für ein eigentlich kostenloses Microsoft Produkt. Diese Masche ist allerdings alles andere als neu.

Unerfahrene und/oder unwissende User können darauf hereinfallen. Leider begünstigt das gute Google-Ranking die Ausbreitung der Scam-Software noch. Offensichtlich wurde massive Suchmaschinenoptimierung betrieben, damit die Webseite windows-movie-maker.org für das Keyword „Movie Maker“ auf Platz eins rankt.

Darüber hinaus ist Windows Movie Maker weiterhin sehr gefragt, wie ein Einblick in Google Trends zeigt. Microsofts Support für die kostenfreie Videobearbeitungssoftware wurde Anfang Januar 2017 eingestellt.

Zum Zeitpunkt der Erstellung des Artikels, rankt die Scam-Webseite windows-movie-maker.org für die Keywords „Movie Maker“ und Windows Movie Maker“ unter den Top 10 – In den meisten Ländern auf Platz eins oder zwei. In der Suchmaschine mit dem zweitgrößten Marktanteil Bing, taucht die Webseite ebenfalls auf der ersten Suchergebnisseite auf.

ESET Sicherheitsprodukte erkennen den Betrug als Win32/Hoax.MovieMaker und blockieren die Website, sodass ESET User nicht auf die Fake-Software hereinfallen.

In der Google-Suchmaschine an erster Stelle

Abbildung 1: In der Google-Suchmaschine an erster Stelle

Die Scam-Webseite

Abbildung 2: Die Scam-Webseite

Durch das sehr gute Ranking in der Google-Suchmaschine haben es die Gauner geschafft, eine breite Masse auf die Betrugssoftware aufmerksam zu machen. Mittlerweile liegt die Bedrohung auf Platz drei des ESET Top Threats Telemetrie-Rankings.

Am 5. November 2017 war Win32/Hoax.MovieMaker die am meisten entdeckte Bedrohungen hinter LNK/TrojanDownloader.Agent.IA und JS/Adware.AztecMedia weltweit. In Israel schaffte es der Scam sogar an die erste Stelle. Am 6. November registrierte die ESET Telemetriedatenbank viele Entdeckungen in den Philippinen, in Israel, Finnland und Dänemark.

Win32/Hoax.MovieMaker als stärkste Bedrohung an dritter Stelle

Abbildung 3: Win32/Hoax.MovieMaker als stärkste Bedrohung an dritter Stelle

Wie der Windows Movie Maker Scam funktioniert

Lädt der User die Scam-Software von der oben genannten Webseite herunter und installiert sie, erscheint zunächst nichts Ungewöhnliches. Allerdings offenbart sich schnell, dass es sich bei dieser Windows Movie Maker Version lediglich um eine Trial Version handelt. Diese soll der Nutzer auf die Vollversion upgraden, um alle Features freizuschalten.

Im folgenden Gebrauch der Scam Software erscheint immer wieder die Aufforderung, auf die Vollversion umzusteigen. Das geschieht beispielsweise mit dem Start des Programms und letztendlich auch beim Vorhaben, das begonnene Projekt speichern zu wollen. An diesem Punkt stellt sich heraus, dass das Speichern wohl ein Premium-Feature sein muss.

Zahlungsaufforderung wird eingeblendet, wenn der User das Projekt speichern möchte.

Abbildung 4: Zahlungsaufforderung wird eingeblendet, wenn der User das Projekt speichern möchte.

Der Preis für die Vollversion der Scam Software beträgt 29,95 US-Dollar. Besonders dreist: Die Webseite verspricht einen Rabatt in Höhe von 25 Prozent.

Von den Betrügern aufgesetzte Seite zum Bezahlen der Vollversion

Abbildung 5: Von den Betrügern aufgesetzte Seite zum Bezahlen der Vollversion

Wie man sich vor dem Windows Movie Maker Scam schützt

Wer den Gaunern von windows-movie-maker.org schon auf den Leim gegangen ist, sollte die Scam-Software umgehend de-installieren und einen Antiviren-Scan mit einer verlässlichen Antiviren-Software durchführen.

PC-User können mit einfachen Mitteln verhindern, auf diese und andere Scam Software hereinzufallen. Der beste Tipp: Am besten hält man immer Ausschau nach den Webseiten der offiziellen Anbieter. Dort wird garantiert die richtige Software bereitgestellt – ohne Backdoor oder andere böse Überraschungen.

Wer Software benötigt, die nicht länger vom Entwickler-Unternehmen bereitgestellt und/oder unterstützt wird, dem seien noch die folgenden Punkte ans Herz gelegt:

  • Eine verlässliche Antiviren-Software verhindert die Ausbreitung bösartiger Malware.
  • Wenn möglich, offizielle Ersatzsoftware des Software-Unternehmens einsetzen. Im Fall von Windows Movie Maker wäre das Windows Story Remix.
  • Niemals für eine Software zahlen, die kostenfrei erhältlich ist oder es einmal war. Preisinformationen sollten immer ausführlich online dokumentiert sein.

Indikatoren der Kompromittierung

  • Installers/droppers:

1060D7935EADB8AAD06EDD1BEBFBF0FD3F7356D8

4F91C0F1AF523B914BA319A7CA02FF79CD02ED6F

6E57AC0812DE0D473DE669CBBAAEF1903995E59F

  • Varianten der hoax-Anwendung:

3886F28150EC74CC61B7A736147B6307A266B0B3

3F0D346FF54A62C2F6E4F7B348D68D0D6E27B981

529017D113BDCECAF1B1FC4DF9555518251A8C7A