WARNUNG vor freeware.de

[ChiefAlex]

(Sowas lese ich ja meist eher, als dass ich es poste...)
Ich muss hier ausdrücklich vor der Verwendung der Seite "freeware.de" warnen.

Jedes Programm ist nur durch einen "Downloader" zugänglich, der das eigentlich gewünschte Programm inline herunterlädt und ungefragt und ohne Ankündigung Browseraddons und Browsereinstellungen verändert. Meinen Chrome hat es dabei völlig zerschossen, Design weg, alle anderen Addons weg.
Natürlich hatte ich ein Backup von allem, was ich gleich wieder drübergebügelt habe.

Außerdem wird ungefragt und unangekündigt "PC Rambazamba" auf dem eigenen Computer installiert, ein völlig nutzloses "Tuning"-Tool. Eine Frechheit.

Des weiteren bekommt man einen gefälschten "Amazon"-Link auf den Desktop geklatscht. In dem steckt ein äußerst umfangreiches Skript, das neben unverständlichem JS-Code eine große Sammlung Reflinks enthält. Was genau das Ding macht, weiß ich nicht, ausführen werde ich die "Verknüpfung" sicher nicht.

Vielleicht kann jemand etwas damit anfangen:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Die Krönung ist, dass sich nach den Download des eigentlich gewünschten Tools der "Downloader" mit einer Fehlermeldung verabschiedet hat und ich die gesuchte Software immer noch nicht habe 😀

Ich hätte nicht gedacht, dass es sowas im Jahr 2012 noch gibt. :fresse:
Und dann auch noch unter deutscher Domain. ich überlege mir ernsthaft, ob es mir den Zeitaufwand wert ist, eine Anzeige nach §202c zu stellen.

 

[nVIDIA SLi]

Danke, war lange mal fällig. Gibt sehr viele, die auf sowas reinfallen und sich damit den ganzen PC zumisten!

:bigok:

 

[ChiefAlex]

Der Spaß geht weiter.

Neben Chrome hat sich "freeware.de" auch mit Toolbar und Suchmaschine in den Internet Explorer gefressen. Das ist mir nur durch Zufall aufgefallen, aber motivierte mich, tiefer zu graben.

Außerdem finde ich eine Datei "IconForAmazon.exe" tief in AppData vergraben. Sie verbleibt auch nach der Deinstallation von "Desktop Icon for Amazon" (richtig, der Mist hat einen Eintrag in der Softwareliste) bestehen. Die Funktion dieser .exe bleibt mir verborgen; wenigstens meldet virustotal hier keine Schadsoftware. Ein Hexeditor verrät mir den Benutzernamen des Programmierers, mehr leider auch nicht.

C:\Users\mecki\Documents\Visual Studio 2005\Projects\AmazonIconInstaller\AmazonIconInstaller\obj\Release\AmazonIconInstaller.pdb

Ich mache mich daran, die "Verknüpfung" auf meinem Desktop zu analysieren.
Es ist scheinbar eine .lnk-Datei, aber ihr Ziel ist auf eine Art geschützt, dass man es direkt sehen kann:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Weder "Zieltyp" noch "Ziel" ist markierbar, so dass die ganze URL für den Benutzer nicht sichtbar ist. Verdächtig ist aber schon der sichtbare Teil, oder?
(Vergleicht es mal mit einer "normalen" Verknüpfung. Normalerweise ist wenigstens das Feld "Ziel" markier- und kopierbar)

Ein Editor verrät mir dann schließlich mehr: Das Feld ist mit mehreren hundert NUL-Zeichen zerhäckselt. Aber jetzt komme ich endlich an den Pfad. So sieht er aus:

http://www.super-geheim.de/redirect/?target=amazon&pid=freewarede&cid=84edf84b-1f1e-443f-be89-c08031434682$Amazon.de - direkt online einkaufen!

(Das ist kein Witz, die Domain lautet tatsächlich "super-geheim.de").
Es ist tatsächlich ein Redirect, man landet auf der Amazon-Seite.

Aber wo kommt dieser Haufen Javascript in der Verknüpfung zum Einsatz?

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

zum selbst schauen.
Scheinbar wird zwar Amazon aufgerufen, der Inhalt der Seite dann aber massiv manipuliert.
Als Motivation fällt mir nur

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

-Abuse ein, bei denen jemand eine Provision bekommt, wenn man über diese manipulierte Amazon-Seite etwas kauft.

Zum Glück sind wir in Schland, reale Angaben in einer registrierten .de-Domain sind also Pflicht. "super-geheim.de" ist auf einen Markus Arnold und die Firma "Thinklabs Ltd. & Co KG" aus Pfarrkirchen registriert. Als Impressum ist aber nur das Impressum von "iconsoft.de" verlinkt und ein Andre Klein aus Otter (laut whois-Abfrage Hemslingen) vermerkt.
(Zum Vergleich: freeware.de gehört Oliver Kruse und "shareware.de SWV GmbH" aus Giessen).
Diese Firma ist manchen bereits durch das äußerst obskure und kaum entfernbare "Preisspion"-Firefox-Addon bekannt, was scheinbar auch öfter im freeware.de-Umfeld unverlangt installiert wird. Man vergleiche die Bewertungen

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

.
Hier wächst zusammen, was zusammen gehört!

 

[Ajsmen]

Ich klapp zusammen!:fresse:

Ziel: www.super-geheim.de :fresse:

Alter Schwede, das Ding gehört in den "lustige Bilder " - Thread 😀:fuchtel:


+1

Gute Aktion von dir!

 

[Coith]

Gute und detaillierte Analyse, Danke! Auf so eine Idee, so ein Mist zu fabrizieren, muss man erst einmal kommen.
Gruß, Coith.

 

[Unglücksrabe]

Wie siehts mittlerweile mit der Internetseite aus ?
Habe eben danach gegoogled, leider kam kein weiterer Eintrag der deinem ähnelt ans Tageslicht.
Stört es denn niemanden, dass die Seite einfach iwas installiert ? :hmm:

 

[ChiefAlex]

Wie siehts mittlerweile mit der Internetseite aus ?

Eine Email an den Betreiber, die ich vor einer Woche geschickt habe, blieb bislang unbeantwortet.

Habe eben danach gegoogled, leider kam kein weiterer Eintrag der deinem ähnelt ans Tageslicht.
Stört es denn niemanden, dass die Seite einfach iwas installiert ? :hmm:

Zu Google: siehe die Suchvorschläge. :fresse:

Alleine stehe ich sicher nicht, der Schmutz geht bei Google aber in geschicktem SEO unter. Es gibt einige "Erfahrungsberichte" bei dooyoo.de und ciao.de, die die Seite in höchsten Tönen loben. Ob die schlicht gekauft sind (Clickworker&Co. lässt grüßen) oder die Leute die Manipulationen schlicht nicht bemerken oder es ihnen egal ist, weiß ich nicht. Vielleicht war die Seite früher (ein Großteil der Bewertungen sind aus dem Zeitraum 2000-2002 und 2008-2009...) auch deutlich harmloser.
Vermutlich ist es eine Mischung aus beiden, wenn man bedenkt, wie viele Leute selbst nach Google googeln.

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Finger weg!! .Die installieren Dir nebenbei unerwünschte Software mit der sie mindestens Deinen Browser kapern. Danach hast Du die immer als Startseite. Für alles leiten die Dich auf ihr conduit Netzwerk. Kriegt man nur ducrh stundenlange Säuberungsaktion wieder entfernt. Kommt sonst immer wieder.

Wer weiß, was die einem noch alles unterjubeln.

Die Seite ist kritisch zu betrachten, da beim Download ungefragt Werbeprogramme, Icons und Toolbars installiert werden.

Webutation - seltsamerweise Top-Bewertungen in Zahlen, der einzige geschriebene Kommentar warnt aber ebenfalls. Beweist mir nur wieder, dass Web of Trust gegen SEO kaum ankommt.

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Privatsphäre / Bedenken
A pain! Man wird unfreiwillig gekapert und bekommt diesen Kram nicht einach vom Schuh. Eine Frechheit sondergleichen am Rande der Legalität

 

[Unglücksrabe]

Aufgefallen ist mir das auch. Gerade wenn man nach Freeware.de Warnung googled ist es verblüffent, dass man auf ihre Seite gelangt 😀. Alles gekauft eben. Schade dass es sowas noch in DE gibt.