Fireball oder Firebällchen? Microsoft und Check Point streiten über Infektionszahlen

Malware (Bild: Shutterstock.com/Maksim Kabakou)

Fireball ist eine über große Anzeigennetzwerke verteilte Adware mit hohem Gefahrenpotenzial. IT-Security-Anbieter Check Point sprach bei der Entdeckung von bis zu 250 Millionen infizierten Rechnern. Diese Zahl hat er inzwischen auf 40 Millionen nach unten korrigiert. Microsoft kann allerdings “nur” 5 Millionen finden, hauptsächlich in Indien und Brasilien.

Der IT-Sicherheitsanbieter Check Point hatte Anfang des Monats eine Untersuchung zu einer Fireball gennanten, nach Ansicht der Check-Point-Experten ausgesprochen gefährlichen Adware vorgelegt. Deren Autoren gingen damals von 250 Millionen infizierten Rechnern weltweit aus. Jetzt hat Microsoft eigene Zahlen zur Verbreitung von Fireball präsentiert. Demnach findet sich die gefährliche Software auf weniger als 5 Millionen Geräten. Der größte Teil davon seien Nutzer in Brasilien und Indien. Microsofts Angaben basieren auf Daten, die Windows Defender von mehr als 500 Millionen Geräten liefert.

Malware (Bild: Shutterstock.com/Maksim Kabakou)

“Obwohl die Gefahr tatsächlich besteht, war der berichtete Umfang der Verbreitung wahrscheinlich überzogen”, meint Hamish O’Dea vom Windows Defender Research Team. Seiner Ansicht nach hat Check Point die Besucher der von Fireball benutzen gefälschten Suchseiten falsch gezählt. Denn nicht jedes Gerät, das diese Webseiten aufrufe, sei notwendigerweise auch infiziert.

Maya Horowitz, Threat Intelligence Group Manager bei Check Point, erklärte dagegen: “Wir haben versucht, die Zahl der Infektionen neu zu bewerten. Annhand der jüngsten Daten wissen wir mit Bestimmtheit, dass die Zahl bei mindestens 40 Millionen liegt. Es könnten aber auch viel mehr sein.” Um das überprüfen zu können, hat Check Point seine Daten inzwischen Microsoft für eine Analyse zur Verfügung gestellt.

Verbreitung von Fireball (Grafik: Check Point)
Von Check Point in seinem Bericht über die Entdeckung der Adware veröffentliche Grafik zur weltweiten Verbreitung von Fireball (Grafik: Check Point)

Fireball kann den Web-Traffic der Nutzer kapern und manipulieren. Wesentliches Ziel ist es, so Anzeigenumsätze betrügerisch in die Höhe zu schrauben. Allerdings kann die Software auch missbraucht werden, um auf Rechners beliebigen Schadcode auszuführen.

Laut Check Point steckt hinter der Adware die Digitalmarketingagentur Rafotech aus Peking. Diese manipuliere mit Fireball, die Browser der Anwender so, dass diese Fake-Suchmaschinen und -Startseiten aufrufen. Verbreitet werde Fireball meist als zusätzlicher Download zu einer anderen Software. Möglicherweise zu diesem Zweck entwickeln Rafotech und mit ihm in Verbindung stehende Firmen diverse Spiele und Programme.

Nach den Erkenntnissen der Sicherheitsforscher von Check Point sind auch die von Rafotech angebotenen Spiele Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash mit Vorsicht zu genießen (Screenshot: silicon.de)
Nach den Erkenntnissen der Sicherheitsforscher von Check Point sind auch die von Rafotech angebotenen Spiele Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash mit Vorsicht zu genießen (Screenshot: silicon.de)

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.