Eine potenziell unerwünschte Anwendung (PUA) oder ein potenziell unerwünschtes Programm (PUP) isteine Software oder ein Programm, das nicht unbedingt bösartig ist. Es kann jedochsich negativ auf Ihr Gerät auswirkenund Benutzererfahrung.
Diese Apps werden oft mit kostenlosen Downloads oder lästigen Installationen geliefert. Sobald sie auf Ihrem Gerät installiert sind, können sie die Leistung verlangsamen, Sie mit Werbung überschwemmen, Browsereinstellungen ändern oder Daten ohne Ihre Zustimmung sammeln.
Dabei handelt es sich zwar nicht um Malware, Trojaner oder Viren, sondern um PUAs und PUPsstellen ernsthafte Datenschutz- und Sicherheitsbedenken dar (sofern nicht aktiviert). Daher ist es wichtig, es zu erkennen und von Ihrem Gerät zu entfernen. In diesem Artikel erfahren Sie, was PUA ist und wie Sie es entfernen können.
Was ist eine potenziell unerwünschte Anwendung (PUA)?
Potenziell unerwünschte Anwendungen (PUA), auch bekannt als potenziell unerwünschte Programme (PUP), ist eine Softwarekategorie, die Folgendes umfasst:Apps mit Missbrauchspotenzialdurch böswillige externe Akteure. Sie werden so genannt, weil sie oft ohne Zustimmung in das System eines Benutzers gelangen (das heißt, sie werden ungewollt heruntergeladen).
PUPs oder PUAssind nicht böswilligan sich und stellen kein Benutzerrisiko dar. Jedoch,Sie verfügen über Funktionen, die einen Bedrohungsakteur dazu befähigen können, Böses zu tungegen das System oder seinen Eigentümer.
Wie funktioniert eine PUA oder ein PUP?
Viele Programme können je nach Funktionalität PUA sein. Systemverwaltungstools sind gute Beispiele, da sie dem Systembesitzer erhebliche Vorteile bieten und die Lösung verschiedener Probleme ermöglichen. Aber gleichzeitigUm effektiv zu sein, benötigen sie ein gewisses Maß an Privilegien, zu denen häufig auch die Übernahme der Kontrolle über die betreffende App, das betreffende System oder das betreffende Netzwerk gehört.
Wenn Sie beispielsweise auf unerwartete Probleme stoßen, die eine schnelle Lösung erfordern, helfen einige Systemverwaltungspakete oder Programme zur Passwortwiederherstellung und andere ähnliche Programme.
Sie erledigen fortgeschrittene Aufgaben sehr einfach für einen relativ unerfahrenen Benutzer. Allerdings verleihen sie einem externen Agenten, der sie zu aktivieren weiß, auch ein hohes Maß an Macht.
Die meisten Benutzer nutzen die Funktionen dieser Programme nicht vollständig aus. Meistens lernen sie, eine Handvoll Aufgaben zu erledigen und den Rest ungenutzt zu lassen. Aber die volle Leistungsfähigkeit des Programms bleibt erhalten und steht böswilligen Akteuren zur Verfügung, um sie nach Belieben auszunutzen.
Außerdem schreiben die meisten Angreifer nicht den Code, den sie verwenden. Stattdessen verwenden sie in der Regel im Internet verfügbare Tools von Drittanbietern, die sie als bösartige Nutzlast in ein System einschleusen.Einige Angreifer wissen, wie sie die ursprünglichen Inhalte von Packern, Cryptern und Obfuscators ändern können, sodass ein zunächst harmloser Installer die bösartige Nutzlast einschließt und sie heimlich installiert.
Auf der Agenda einer PUA hat die Vermeidung einer Entdeckung oberste Priorität. Sobald es installiert ist, bleibt es stumm, bis es im Falle eines Angriffs das grundlegende Ziel erreichen kann.
Was ist eine PUA-Bedrohung?
Wenn eine potenziell unerwünschte Anwendung Ihr System erreicht, kann dies der Fall seinverschiedene lästige Aktivitäten ausführenmit oder ohne Vorankündigung. Zu den häufigsten Bedrohungen, die PUAs darstellen, gehören:
- Machen Sie Ihren Computer langsam.
- Überflutet Sie mit unerwünschter Werbung.
- Installation anderer Software, die Sie nicht möchten, oder Schlimmeres.
- Diebstahl Ihrer sensibelsten Daten.
Wie gelangen PUAs oder PUPs in Ihr System?
Bedrohungsakteure und KriminelleHacker missbrauchen häufig legitime Tools mit leistungsstarken Funktionen. Da diese Tools zu ansonsten legitimen Einheiten gehören, können sie potenziell der Aufmerksamkeit der Benutzer des Zielsystems entgehen, selbst wenn sie markiert sind. Gleichzeitig dienen sie weiterhin den beabsichtigten Zwecken der Angreifer. Daher können diese Tools zwar hilfreich sein, aber die meistenAntiviren-SuitenBetrachten Sie sie als PUAs.
Ein klassisches Beispiel für solche PUPs oder PUAs-Lieferquellen ist dieNirSoft-Website. Esbietet eine große Auswahl an Systemverwaltungssoftware. Eine ganze Kategorie seiner Software konzentriert sich auf die Wiederherstellung von Passwörtern in Umgebungen wie Routern, drahtlosen Netzwerken, E-Mail-Clients, Browsern usw.Sicherheit explodiertist eine weitere Website, die ähnliche Software anbietet.
Der NirSoft-Katalog „Dienstprogramme zur Passwortwiederherstellung“ umfasst 28 Tools. Diese Tools scannen eine Hardware oder eine virtuelle Umgebung, um gespeicherte Anmeldeinformationen zu finden. Beispielsweise war die Windows-Registrierung in der Vergangenheit dafür berüchtigt, jedes mögliche Passwort unverschlüsselt zu speichern.
Die von NirSoft angebotenen Tools zur Passwortwiederherstellung sind täuschend einfach. Außerdem arbeiten sie effizient und können über die Befehlszeile ausgeführt werden. Die Verfügbarkeit der Befehlszeile bedeutet, dass Sie sie über ein Skript oder ein Programm aufrufen, dann die Ausgabe sammeln und verwenden oder zur späteren Verarbeitung speichern können.
Sind diese Tools also bösartig? NEIN,sie sind nützlich. Sie können jedoch auchErmöglichen Sie es einem externen Angreifer, Ihre Passwörter zu stehlen. Aufgrund dieser potenziell bösartigen Fähigkeit gibt es zahlreicheAntivirensoftwareAnbieter generieren häufig Warnungen, wenn sie diese Tools erkennen.
Nir ist sich dessen bewusst. ABeitrag 2015 auf NirBlogDer Autor des Tools gab zu, dass verschiedene AV-Tools seine Software als bösartig markiert hatten. Er erklärte auch, dass diese Apps nicht so schlecht bewertet werden sollten.
Was können wir also aus diesem offensichtlichen Konflikt zwischen dem Entwickler und der AV-Branche machen? Es ist natürlich. Der Standpunkt des Entwicklers ist richtig, aber einzigartig, da niemand sonst als Autor der Software seine Bedenken wirklich teilen kann.
Die AV-Branche ist auch aufgrund ihrer Position gültig. Der bloße Nutzen der Software ist nicht der einzige zu berücksichtigende Faktor, wie dies für den Entwickler der Fall sein kann.Agutes Antivirenprogrammmuss den Benutzern alles mitteilen, was ein Risiko für ein bestimmtes System darstellt.Außerdem erkennt NirSoft in seinem Beitrag an, dass AV-Software seit 2004 Benutzer vor Passwort-Wiederherstellungstools als potenziell unerwünschten Anwendungen warnt. Elf Jahre zu warten, um eine Beschwerde darüber einzureichen, scheint etwas zu spät zu sein.
Betrachten wir ein Gedankenexperiment. Ein Computer ist kompromittiert und der Angreifer lädt „Netcat” hinein. Es ist einlegitimes Werkzeug. Es ist bekannt für seineFähigkeit, Netzwerke zu testenund helfen bei der Fehlerbehebung. Allerdings ist eskann auch Hintertüren einführenim System, was dem Angreifer Zugriff ermöglicht.
Obwohl es einen legitimen Anwendungsfall für Netcat gibt, betrachten die AVs es dennoch als PUA, da es einige Funktionalitäten enthält, die sich gegen sein Heimatsystem wenden können.
Beachten Sie jedoch, dass diese Antivirenprogramme diese Tools lediglich als PUAs und nicht als Malware kennzeichnen. Außerdem verfügen die meisten AVs über eine Safelist, die es Benutzern ermöglicht, bestimmte Apps von der AV-Erkennung auszuschließen. Wenn also Netcat, ein Passwort-Wiederherstellungstool oder eine andere Software vorhanden ist, weil der Systembesitzer sie dort haben möchte, kann der Besitzer das Tool als sicher markieren. Das macht NirSofts Bedenken hinsichtlich der AV-Kennzeichnung gegenstandslos.
Eine PUA als Waffe einsetzen
Im Jahr 2018 wütete der Banking-Trojaner Emotet und nutzte legitime Freeware-Systemtools, um einige digitale Verbrechen zu begehen. DerUS-CERT alarmiertdie Öffentlichkeit über Emotet, einschließlich der Passwort-Wiederherstellungstools von NirSoft, in die Liste der unwilligen Täter aufgenommen.
Das ist fast von Anfang an die gängige Praxis von Malware. Doch mit der Zeit gehen immer mehr Nutzer online. Der Einsatz dieser Tools nimmt entsprechend zu, da auch die Hackergruppen wachsen. Zum Beispiel,Bitdefender gefundenInformieren Sie sich darüber, dass Netrepster (eine Cyberspionagegruppe) einen gezielten Angriff unter Verwendung einiger Elemente Dritter startet, die ansonsten harmlos erscheinen könnten.
Potenziell unerwünschte Anwendungen und Programme werden häufig in verschiedenen Malware-Kampagnen verwendet, die im Umlauf sind. Oft,Sie sind Teil der zweiten Stufe und werden von einer Komponente des Haupt-Malware-Launchers geladen.Zu diesem Zeitpunkt können die meisten AV-Programme sie erkennen und Sie davor warnen.
Leider gibt es für diese Dinge keinen einheitlichen Fachjargon. Daher nennt jeder Anbieter sie anders, etwa Riskware, ChromePass, PstPassword, NetPass und Dialupass, um nur einige zu nennen.
Bei einer grundlegenden deskriptiven statistischen Analyse der Häufigkeit dieser Fehler haben wir festgestellt, dass die NetPass-Kategorie am häufigsten vorkommt. Es umfasst drei Tools: Netzwerk-Passwortwiederherstellung, IE PassView und Opera PassView.
Wir suchten weiter und beobachteten verschiedene Szenarien, bis wir eines fanden, das die Situation sehr gut veranschaulichte. Das.net-Software ist legitim und wird von keiner böswilligen Gruppe erstellt oder verbreitet. Der Name ist irrelevant, aber Sie können ihn anhand seines MD5-Hashs identifizieren.0fd18e3cc8887dc821a9f8c4e481a416. Es ist ein gutes Beispiel, weilEs nutzt die Tools von NirSoft gegen die Sicherheit eines Systems.
Und denken Sie daran, dass diese Dinge selbst dem besten AV-Gerät nicht immer so klar sind. Cyberkriminelle werden versuchen, ihren Code zu verbergen und zu verschleiern, um möglichst lange unter dem Radar zu bleiben. Sie spielen ein Verschleierungsspiel, damit ihnen die Malware-Analyse nichts anhaben kann.
Der RDG-Paketdetektor teilte uns mit, dass diese Software durch ein kommerzielles Tool, den „Enigma Protector“, geschützt sei. Dabei handelt es sich um einen Dienst, der ausführbare Binärdateien zu Lizenzzwecken schützt, um Piraterie zu verhindern. Tatsache ist, dass Malware-Autoren es auch nutzen, um ihre Arbeit zu schützen.
So gelangt die Schadsoftware in ein System. Anschließend führt es den Angriff der zweiten Stufe aus, indem es die erforderlichen Tools bereitstellt. Anschließend führt es sie über Befehlszeilenaufrufe aus und speichert die gesammelten Daten für später. Die beteiligten Prozesse waren „WebBrowserPassView.exe“, „mspass.exe“ und „ProduKey.exe“.
Sobald die Malware über die gewünschten Daten verfügt, sendet sie diese mithilfe einer HTTP-Anfrage an den C&C-Server.
Wie groß ist der Schaden also durch NirSoft-Tools? Und wie viel davon stammt vom Malware-Entwickler? Wir haben das Beispiel entpackt, um seinen Code zu sehen und Verantwortlichkeiten zuzuweisen. Der Angriff nutzt drei NirSoft-Tools. Es gibt jedoch noch mehr. Der Autor des Angriffs verfügt über zusätzlichen Code, um weitere Anmeldeinformationen von CoreFT, FileZilla, SmartFTP und einigen anderen zu stehlen.
DerNirSoft-Tools stellen Passwörter wieder her, aber es gibt noch eine zusätzliche Ebene: Sie stellen dem Angreifer auch den Windows-Produktschlüssel und den Office 2003/2007-Produktschlüssel zur Verfügung.
Wenn der Angreifer seinen Willen durchsetzt, sammelt er Daten, darunter den Produktschlüssel, den aktuellen Benutzer, die Windows-Version, die Windows-Seriennummer sowie einige Passwörter und Anmeldeinformationen. Wenn es also erfolgreich ist,Es sammelt genügend Daten, um Sie im Internet genau zu identifizieren und in mehreren Fällen Ihre digitale Identität zu stehlen.
Wie vermeide ich potenziell unerwünschte Programme?
Eigenständige Systemtools sind für viele in der IT-Branche, insbesondere im IT-Support, eine legitime Ressource. Die Tools können schnell die benötigten Ergebnisse liefern, automatisiert sein und das Leben eines IT-Mitarbeiters insgesamt einfacher machen.
Wenn Sie sich die Tools und ähnlichen Apps von NirSoft ansehen, stellen Sie fest, dass sie an sich nicht bösartig sind. Im Gegenteil, sie sind nützliche Elemente im IT-Unterstützungsprozess. Wenn sie jedoch in Ihrem System installiert sind, sollten Sie es wissen. Dies gilt insbesondere in digitalen Unternehmensumgebungen, in denenSicherheitsmängel können schlimmere und schädlichere Folgen haben.
Und warum missbrauchen Malware-Autoren so leicht potenziell unerwünschte Programme? Weil sie gut sind! Sie sind hilfreich, leistungsstark, vielseitig, gut gemacht und zeichnen sich dadurch aus, dass sie das erwartete Ergebnis liefern. Daher können sie auch für einen verdrehten Geist sehr hilfreich sein, weil sie es von Natur aus sind.
Die Emotionund andere fortgeschrittene Malware-Bedrohungen werden immer relevanter, da immer mehr Cyberkriminelle sie für ihre Aktivitäten nutzen.
Im Gegensatz zu den verspielten Viren der frühen 90er Jahre, die Ihnen nur einen Streich gespielt haben, sind diese aktuellen PUAs von Dauer, weil sie hilfreich, vielseitig und wirksam sind. Sie können dir schaden, aberleisten Ihnen bei Bedarf auch einen wertvollen Dienst. Und die Bösen werden sie weiterhin zu ihrem Vorteil nutzen.