Entsprechend Beitrag B715 aus Heft 5 habe ich den Botnet Test gemacht. Eine Infizierung wurde nicht erkannt. Zur Sicherheit habe ich den ebenfalls empfohlenen PC Cleaner eingesetzt, der mir dann OCSetzupHlp.dll als Schadprogramm ausgewiesen hat – siehe Anlage. Diese Dll wurde mit HerdProtect installiert. Dieses Programm habe ich auch auf Empfehlung des PC-Pannenhelfert installiert und eingesetzt.
Ich bin ein wenig verwirrt, wenn eine Empfehlung eine andere Empfehlung als Schadprogramm ausweist.
Auch kann ich nicht erkennen, warum das setup.exe des PDF-Creators als Schadprogramm ausgewiesen ist. Wem kann ich noch trauen?
Sehr geehrter Herr Neumann,
hier handelt es sich um PUA = potential unwanted application, potenziell unerwünschtes Programm und zwar speziell um ein Programm der Firma Open Candy. Informationen zu Open Candy finden Sie zum Beispiel hier, leider nur in englischer Sprache: https://en.wikipedia.org/wiki/OpenCandy
Die Firma Open Candy bietet Programmherstellern einen Zusatz an, der PC-Anwender ausspioniert und in Abhängigkeit von den dort gefundenen Programmen ohne Rückfrage zusätzliche Programme installiert. Dazu wird eine DLL-Datei (Programmbibliothek) von Open Candy in das Installationsprogramm eingefügt.
Verboten ist das nicht, daher wurde Open Candy und auch ähnliche Programme lange Zeit nicht von Antiviren-Programmen gemeldet.
Mittlerweile sind Open Candy und andere unerwünschte Zusätze in derart vielen Tools, dass Sie tatsächlich kaum noch einem Anbieter trauen können. Selbst in Sicherheitsprogrammen sind solche Zusätze zu finden. Da macht leider auch Avira keine Ausnahme.
In der kostenlosen Version von Avira wurde seit Juni 2011 für längere Zeit standardmäßig die Werkzeugleiste „ASK Toolbar“ mit installiert und der Browserschutz in der kostenfreien Variante nur dann aktiviert, wenn man auch die Ask Toolbar installierte. Selbst in der kostenpflichtigen Avira Antivirus Pro Software war die Ask Toolbar enthalten (nachzulesen bei Wikipedia).
Selbst kostenpflichtige Programme sind also mittlerweile mit Werbeprogrammen ausgestattet. Windows 10 ist ein Beispiel – und mit dem neuen Update im Juli wird Windows 10 noch mehr Werbung anzeigen.
Der Grund: Über die Werbung und das Installieren von Zusatzprogrammen wird viel Geld verdient. Die meisten angebotenen Programme im Internet sind kostenlos, auch die Dienste der Download-Plattformen wie CHIP werden kostenlos angeboten. Mit Werbeprogrammen wie Open Candy holt man sich das Geld – das können bei einem stark nachgefragten Tool pro Programm und Jahr mehrere Millionen sein.
Ich prangere das im PC-Sicherheits-Berater und PC-Pannenhelfer an und mache darauf aufmerksam. Es ist allerdings ein Kampf gegen Windmühlen. Solange der Gesetzgeber so etwas nicht verbietet und die Programme weiter millionenfach installiert werden, wird es auch diese unerwünschten Programme weiter geben.
Hoffnungslos ist die Situation aber nicht, denn ich zeige ja, wie man durch Kontrollprogramme wie PC Cleaner die unerwünschten Programme entdeckt. Dann kann man sie entfernen. Die Kontroll- und Sicherheitsprogramme darf man von dieser Prüfung nicht ausnehmen und ständig neu überprüfen.
Programme sind von Menschen gemacht und die sind nicht alle gut und vertrauenswürdig. Daher gilt überall das 4-Augen-Prinzip, wo die Gefahr des Missbrauchs besteht. Das kennen Sie sicher aus dem Geschäftsleben. Dieses Prinzip gilt ebenso bei Software und dem Internet.
Viele Grüße
Michael-Alexander Beisecker
Ich bin mit dieser Antwort nicht zufrieden. Ich habe gefragt, warum ein von Ihnen empfohlenes Programm von einem anderen empfohlenen Programm als Schadprogramm identifiziert wird. Sie hätten dann seit der Empfehlung von HerdProtector diese Empfehlung zurücknehmen müssen.
Auch habe ich gefragt, warum das Setup.exe von PDF-Creator als Schadprogramm identifiziert wird. Hat das zur Konsequenz, dass das kostenfreie Programm nicht verwendet werden soll und man doch aus Sicherheitsgründen auf das teuere Nero Burning zurückgreifen muss?
Beste Grüße
Peter Neumann
Sehr geehrter Herr Neumann,
ich habe gerade das von mir empfohlene herdProtect von der Seite des Herstellers heruntergeladen (https://www.herdprotect.com/downloads.aspx) und mit VirusTotal und 56 Virenscannern überprüft.
Tatsächlich zeigt ein Virenscanner (Zillya) eine Bedrohung an. Das halte ich allerdings bei 55 negativen Analyseergebnissen für einen Fehlalarm. Insgesamt beurteilt VirusTotal die Installationsdatei als potenziell harmlos. Derzeit sehe ich daher keinerlei Grund, meine Empfehlung für herdProtect zurückzunehmen.
Über das Register Verhaltensinformationen habe ich mir die verwendeten DLLs angeschaut. Die von Ihnen genannte Datei OCSetzupHlp.dll gehört nicht dazu, wurde also nicht mit herdProtect installiert.
Die Datei heißt außerdem OCSetupHlp.dll. Tatsächlich enthält diese Datei Open Candy. Woher Sie die Datei haben, kann ich nicht sagen. Jedenfalls wird sie aktuell nicht mit herdProtect geliefert, zumindest nicht, wenn Sie die von mir empfohlene Download-Adresse verwenden. Bei anderen Download-Adressen mag das sein.
Überprüfen Sie das von Ihnen heruntergeladene Setup.exe von PDF-Creator bitte mit VirusTotal und laden Sie das Ergebnis hoch. Dann kann ich sehen, ob da tatsächlich etwas ist und worum es sich handelt.
Zu Open Candy: Das ist selbst kein Schadprogramm. Sie können das Installieren zusätzlicher Programme ganz einfach dadurch verhindern, dass Sie die Internetverbindung trennen, während Sie ein Programm mit Open Candy installieren.
Ich empfehle allerdings, mit Open Candy versehene Programme nicht zu installieren. Solche Tricks wie das Trennen der Internetverbindung funktionieren möglicherweise bei einer neueren Open-Candy-Version nicht mehr.
Generell empfehle ich auch, alle Downloads mit VirusTotal zu überprüfen, bevor diese installiert werden. Das gilt sogar für die Downloads über unsere sichere Service-Webseite. Ein Anbieter kann seine Domain an Kriminelle verkaufen oder plötzlich selbst ein Schadprogramm anbieten. Eine Download-Seite bzw. der Server könnte auch gehackt werden. Lieber einmal zu viel prüfen, als einmal zu wenig.
Die Prüfung mit VirusTotal entlarvt Fehlalarme und weist auf übersehene Schadprogramme hin. Allerdings ist die Auswertung nicht immer einfach, denn wenn ein Antiviren-Programm ein Schadprogramm erkennt und 55 nicht, kann das eine Antiviren-Programm natürlich richtig liegen und alle anderen blind sein. In der Regel ist das aber nicht der Fall, besonders nicht wenn die eine Alarmmeldung von einem eher unbekannten und im allgemeinen nicht gut bewerteten Virenscanner stammt.
Viele Grüße
Michael Beisecker