Es geht nicht immer nur um Ransomware. Der Malware-Oldie HTML/FakeAlert treibt momentan sein Unwesen in Deutschland. Derzeit zählt die Bedrohung zu den Top 5 weltweit.

Was ist HTML/FakeAlert

Bei HTML/FakeAlert handelt es sich um eine Malware, die falsche Meldungen und Hinweise (Support Scams) auf dem Desktop-Bereich des Users einblendet. Die Falschmeldungen nötigen User unter anderem dazu, bei einer überteuerten Hotline anzurufen. Oft spielen die Entwickler hinter der Bedrohung mit der Angst der PC-Nutzer. Einige Meldungen blenden den Hinweis ein, dass der Computer aufgrund einer Ransomware demnächst verschlüsselt wird. Natürlich stimmt das nicht. Das folgende Bild zeigt so eine Falschmeldung.

Benutzer werden in die Falle gelockt: Die Fake-Warnmeldung soll die User zum Wählen einer teuren Servicehotline (Support Scam) bewegen

Abbildung 1: Benutzer werden in die Falle gelockt: Die Fake-Warnmeldung soll die User zum Wählen einer teuren Servicehotline (Support Scam) bewegen

Die HTML/FakeAlert Malware wurde zuerst im Dezember 2009 gesichtet. Lange Zeit war es ruhig um die Schadsoftware, bis 2015 die Malware-Erkennungen allmählich anstiegen. Seitdem ist die Erkennungsquote weltweit stark gestiegen, wie die folgende Grafik (Abb. 2) verdeutlicht.

HTML/FakeAlert Trend weltweit

Abbildung 2: HTML/FakeAlert Trend weltweit

Die HTML/FakeAlert Malware erreichte auch Deutschland. Derzeit weist sie die deutschlandweit höchsten Erkennungsraten auf (Abb. 3).

Top-Bedrohungen in Deutschland im Monat September

Abbildung 3: Top-Bedrohungen in Deutschland im Monat September

Wie gelangt HTML/FakeAlert auf meinen Computer?

Computer-Malware wie HTML/FakeAlert sind Softwareprogramme, welche die normale Computerfunktionalität ohne das Wissens des Users stören. Typischerweise verschafft sich die Malware Zugang zum PC durch ein Stück ausführbaren Code oder sie gelangt mit Hilfe eines Softwarebundels unbemerkt auf den Rechner.

HTML/FakeAlert kann auch durch anderen Schadcode auf den Rechner gelangen, wie zum Beispiel durch bösartige HTML-Webseiten mit schädlichen Scripts. Andere Kompromittierungswege sind E-Mail-Anhänge von Spam-Mails, soziale Netzwerke, Peer-to-Peer Filesharing Netzwerke oder Instant Messaging Tools.

HTML/FakeAlert kann über viele Wege auf den Computer gelangen. Die gängigsten Methoden sind in der folgenden Liste noch einmal zusammengefasst:

  • Versehentlicher Download der Malware über fragwürdige Webseiten
  • Kompromittierte E-Mail-Anhänge
  • Malware auf Speichergeräten (USB-Stick, DVD, RAM-Speicher)
  • Fake-Updates, die den User in die Falle locken
  • Fake Antivirus Removal-Tools
  • Kompromittierte Dateien, die über Peer-to-Peer-Netzwerke, Torrent-Seiten und IRC-Kanäle geteilt werden

Welche Symptome zeigt die Bedrohung HTML/FakeAlert?

Der Trojaner ist in der Lage, unterschiedliche gefälschte Pop-up Alarme auf dem Desktop des Users einzublenden. Beispielsweise kann eine Fake-Warnmeldung mitten im Zentrum des Bildschirms auftauchen, oder als Pop-up von der unteren Taskleiste. Oder der Nutzer wird unvermittelt im Browser auf eine Fake-Website umgeleitet, die eine angebliche PC-Kompromittierung vortäuscht. Man erkennt schnell, dass die Fake-Meldungen nur einen alleinigen Zweck verfolgen. Der PC-User soll beispielsweise für ein Antivirenprogramm zahlen, damit die angeblich entdeckte Bedrohung beseitigt wird.

Hat es die Malware in das Computersystem geschafft, können ganz unterschiedliche Auswirkungen auftreten. Das hängt ganz von der Variante der Malware ab. Einige fügen Shortcuts von unbekannten Programmen auf den Desktop hinzu. Andere ungewollte Programme oder potentiell unerwünschte Software führen zur massiven Verlangsamung des PCs, da HTML/FakeAlert CPU-Power und Speicherressourcen verschlingt. HTML/FakeAlert beeinflusst das Arbeiten am Computer. Es treten verschiedene Unregelmäßigkeiten in Erscheinung und Computerabstürze häufen sich. Schädlichere Varianten führen zum berüchtigten „Blue Screen of Death“ oder erzeugen kritische System-Fehler, die immer wiederkehrende Neustarts fordern. Unter Umständen kann HTML/FakeAlert wichtige Dateien und Ordner vom Computer löschen – Im schlimmsten Fall werden Systemdateien und die Windows Registry so stark beschädigt, dass der Computer unbenutzbar wird.

Die möglichen auftretenden Symptome im Überblick:

  • Einblenden von Fake-Warnmeldungen
  • Unvorhersehbares Verhalten des Computers
  • Unerwartete Fehlermeldungen vom Betriebssystem
  • BSoD – Blue Screen of Death
  • Verringerte Computerleistung
  • Programme stoppen mit Fehlermeldungen
  • Neue Dateien werden im root-Verzeichnis angelegt
  • Spam-Nachrichten werden unbemerkt vom E-Mail-Account versandt
  • Ordner und Dateien verschwinden auf mysteriöse Weise
  • Zerstörung wichtiger Systemdateien, bis zur Unbenutzbarkeit des Rechners

Wie wird HTML/FakeAlert vom Computer entfernt?

Unter Umständen verhindert HTML/FakeAlert Antivirus Software, Firewalls und andere Sicherheitseinstellungen auf einem kompromittierten Computer. Die Malware ist bestrebt, den schädlichen Payload so lange wie möglich auf dem Rechner des Opfers zu halten. Auf diese Weise kann der User durch immer wiederkehrende gefälschte Warnmeldungen und Fake-Hinweise dazu getrieben werden, doch das angepriesene, überteuerte (unnütze und unechte) Virenprogramm zu kaufen. Deshalb empfehlen wir unseren Lesern, auf verlässliche und authentische Virenprogramme zu setzen.

Wer gar kein Virenprogramm benutzt, sollte zumindest den kostenlosen ESET Online Scanner ausprobieren. Wir empfehlen aber, immer eine proaktive Sicherheitslösung auf dem Smartphone und Computer installiert zu haben, damit Bedrohungen erkannt werden, bevor sie Schaden anrichten.

Die Bedrohungslage scheint momentan sehr akut zu sein, wie die folgende Grafik verdeutlicht.

Bedrohungslage HTML/FakeAlert Europa

Abbildung 4: Bedrohungslage HTML/FakeAlert Europa