Du wolltest eigentlich eine Freeware runterladen und bekommen hast du einen CHIP-Installer? Du möchtest wissen, was er macht und warum? Wir klären auf was der CHIP Installer mit Deinem Rechner vorhat.
Contents
Der „sichere CHIP Installer“ statt Software
Man könnte sich schon betrogen fühlen, wenn man davon ausgeht auf einem der größten Downloadportale eine Software runterzuladen und stattdessen erhält man WERBUNG. Diese Art von Werbung sog. Adware haben vor Jahren schon andere Anbieter genutzt, wie z.B. Softonic. Von heute auf Morgen wurde einfach ein Downloader für jeden Download eingeführt, der „zusätzliche Extras“ installierte. Diese Extras sind aber keine, sondern lediglich Spionage-Tools und Addons die das Surf-verhalten des Benutzers dokumentieren, verfolgen und beeinflussen sollen. Diese Daten werden dazu verwendet dem Benutzer gizieltere Werbung anzubieten. Wer sich für TuneUp-Tools interessiert, der kauf auch Driver-Booster oder anderes Schlangenöl.
Natürlich ist „alternativ“ eine „manuelle Installation“ möglich. Der normale User erkennt aber nicht was der Hintergrund ist und klickt regelmäßig auf den stark hervorgehobenen Button. Das Wort „sicherem Chip-Installer“ tut sein übriges dazu.
Bekommt jeder den Chip Installer angeboten?
Nein – und das ist wahrscheinlich der perfideste Trick. Oft teilt man jemanden einen Link zum Download mit und geht davon aus, dass der Empfänger das selbe zu sehen bekommt was man selbst. Weit gefehlt. Nach unseren Tests spielen folgende Faktoren eine Rolle, ob man den Chip-Installer angeboten bekommt oder einen normalen (echten) Download.
- Browserkennung (User-Agent)
- Windows Sprache Einstellung
- Plugins des Browsers (Noscript, AdBlockPlus)
- Referrer (wo kommt der User her, Suchmaschine oder Link)
Die beste Chance einen Installer zu erhalten ist: Firefox mit dem AdBlock-Addon kommend von Google.
Software von CHIP?
Sehr interessant ist auch die Darstellung des Installers, direkt nach dem Start. Der Startbildschirm macht den Eindruck als wäre „Snipping Tool Plus“ eine Software von CHIP. Es ist kaum vorstellbar, dass Autoren der Software gefragt wurden, ob sie solch eine Veränderung des Installationsprozesses erlauben.
Ein Hinweis: der Text erscheint deshalb teilweise auf English, weil er in einer englisch-sprachigen virtuellen Testumgebung ausgeführt wurde.
Interessant ist auch, was auf jeden Fall vom PC aus gesendet wird. Wir empfehlen auf jeden Fall sich die Nutzungsbestimmungen durchzulesen.
Such AddOn Cliqz
Eins sollte immer im Hinterkopf behalten werden: diese Software wird ständig angepasst und mit neuen Erweiterungen und Spionage-Tools ausgestattet. Manche PlugIns wie dieses Cliqz Addon wird nun auch alternativ angeboten während es vorher lange Zeit im Hintergrund zwangsinstalliert wurde. Sowas passiert aber meist erst dann, wenn sowas auch von Dritten aufgedeckt wird.
Beim Test werden auffällig oft die Verlags eigenen Seiten vorgeschlagen. Der User gelangt gar nicht erst zu einer Suchmaschine wie Google oder Bing, sondern wird direkt in der Browserzeile „abgeholt“ und auf die eigenen Seiten geleitet. Wenn man hochrechnet, wie viel Downloads CHIP.de mit seinem Portal generiert, ist von einer starken Traffic-Umleitung zu Gunsten der Kunden des Cliqz-Herstellers auszugehen.
Nun kann man sich zumindest für oder gegen das Addon, dass man ohnehin nicht haben wollte entscheiden.
Weitere Zugaben und Geschenke
Der Chip-Installer hat aber noch weiteres zu bieten. Dieses Mal wurden uns noch angeboten:
- Ein Amazon-Icon auf dem Desktop (Damit verdient CHIP Provisionen für jeden getätigten Kauf darüber)
- CHIP BestDeal (Eine Browser Erweiterung, die einen Preisvergleich innerhalb von Shopseiten einblendet)
- Goodgame Empire-Icon (Ein „kostenloses“ Spiel mit InApp Käufen)
Malware Adware oder nur PUP
Dieser CHIP-Installer wird zurecht von guter Antivirensoftware zumindest als PUP (Potentiell Unerwünschtes Prgramm) erkannt.
- Malwarebytes Anti-Malware erkennt diese PUP als PUP.Optional.ChipXonio oder als PUP.Optional.Downloader.
- ESET erkennt es z.B. als Win32/DownloadSponsor.C.
- Avira erkennt diese als PUA/DownloadSponsor.Gen.
CHIP-Installer als Backdoor erkannt
In einem Thema in unserem Forum tauchte eine interessante Version des Chip-Installers auf. Eine Überprüfung der bei CHIP.de heruntergeladenen Downloads bei Virustotal zeigte folgendes Ergebnis.
- Backdoor.Bot (Malwarebytes)
- Win32:Dropper-gen [Drp] (Avast)
Es wird mit folgenden Servern Kontakt aufgenommen:
- thinklabs-ltd.de (46.4.173.131)
- admin.download-sponsor.de (136.243.4.251)
- h1827286.stratoserver.net (85.214.210.27)
- client.download-sponsor.de (136.243.4.251)
- www.download-sponsor.de (46.4.173.131)
Aufruf URLs für das Tracking
- http://client.download-sponsor.de/brandmachine/chipde?cid=54462826&scid=&headline1=4E657453706565644D6F6E69746F72202836342042697429&headline2=434849502D444F574E4C4F4144&euid=623935633734326232343230306330333063333037623461
- http://www.download-sponsor.de/initdownload/tracking/UACTracking/UAC.php?clientid=e27ec352-53ee-475f-8d41-a24aff929b6f&cid=54462826&pid=chipde&source=BLUB2&setupid=44f45f0d8cbe4a1d880829d798e1436c&langcountry=en-US&state=WithoutUAC
download-sponsor.de – Verdienen Sie mehr Geld mit Ihren Downloads
… wirbt die ThinkLABs Ltd. & Co. KG auf ihrer Seite. Durch das Tracken der User und das einblenden der Werbung und die Sendeberichte über den Zustand des Rechners lassen sich gute Geschäfte machen.
Fazit Chip-Installer
Es spricht nicht für das Portal, solche Methoden anzuwenden um zusätzliche Werbung auszuspielen. Wenn Browser-Addons gar ohne Wahrnehmung des Users auf dem Rechner installiert werden ist es immer bedenklich. Man muss sich im Klaren sein, dass diese Software theoretisch alles was am PC gemacht wird loggen und an Dritte weiterreichen kann.
Wir empfehlen auf solche Portale zu verzichten.
Weiterführendes
#ChipGate: Der Chip-Installer und die aufgezwungenen Amazon-Links vom Sicheren Amazon Symbol
Die FaQ von CHIP
13 Comments
HaJo
„Die beste Chance einen Installer zu erhalten ist: Firefox mit dem AdBlock-Addon kommend von Google.“ sollte hoffentlich „keinen“ heißen
admin
Hi, „leider“ ist der Satz richtig.
Manu
Hallo, ist es gemeint: wenn ich den Adblock-Addon(Adblock-Plus) von CHIP herunterladen, werde ich der Installer mitbekommen?, oder Adblock-Plus verhindert es nicht
admin
Es soll heißen: wenn du AdBlocker aktiv hast, bekommst du den Installer.
Toni
Den ABP oder ABE? Ist es angebracht diese zu-entfernen oder genügt Deaktivieren?
Pingback: mystartsearch, unico, optimize pro, reimage repair, StarGames, webssearches, etc. - wie werd ich den Mist wieder los? - Seite 3 - Trojaner-Board
Andreas
„Firefox mit dem AdBlock-Addon, kommend von Google”
Klasse, da liege ich genau richtig.
Eigentlich dachte ich mit FF und Addons besser als der Durchschnitt zu liegen.
Aus der Sicht von Chip stimmt das nun leider zweifelsfrei.
Schade das Opera mittlerweile so verkorkst ist. War mal ein sehr guter Browser…
Laurenz
Deswegen sollte man software immer von der entwickler seite laden und diese download archiv seiten von irgend welchen mittelklassiegen computer zeitschriften die was von seo verstehen so gut es geht vermeiden.
Pingback: ACHTUNG: Chip verteilt als Download Trojaner | Allgemein, Web, Wirtschaft
donlarizius
ist die Option „alternativ: Manuelle Installation” sicher? Oder kann man sich damit auch diese hier genannte Ad- und Spyware einfangen bei Chip?
Gibt es ein gutes Downloadportal, welches solche Scherze nicht macht? Bei Softonic hab ich das auch schon seit ner Weile bemerkt das Adweare mitinstalliert wird…
admin
Zurzeit ist die „Manuelle Installation“ (noch) sicher, d.h. original.
heise.de, filepony.de sind Portale die sowas nicht machen.
Pingback: Gibt es hier im Forum vom Team eine Anleitung in Sachen Schutz vor Adware?
Pingback: Avast Scan: Fehler: System kann auf die Datei nicht zugreifen - Seite 2