Was ist Malware?

Schützen Sie Ihren PC vor Schadsoftware!

Start / Adware / Der Browser-Klon eFast imitiert Chrome um persönliche Daten zu stehlen

Der Browser-Klon eFast imitiert Chrome um persönliche Daten zu stehlen

von Enrico Lauterschlag Hinterlasse einen Kommentar

Lästige Toolbars und Add-ons nisten sich im Webbrowser ein, um Werbung einzublenden. Das war gestern. Webbrowser sind immer besser gegen das sogenannte Browser-Hijacking geschützt. Die Adware eFast testet daher eine neue Strategie: Sie ersetzt den bestehenden Chrome-Browser durch eine täuschend ähnliche Kopie.

Google Chrome Logo und Schriftzug

eFast imitiert den sehr beliebten Chrome-Browser, um persönliche Daten zu sammeln
Quelle: Google.

Was ist eFast?

Auf den ersten Blick sieht der eFast-Browser aus wie Chrome. Dies ist nicht erstaunlich, basiert er doch weitgehend auf demselben Quellcode, den Google unter dem Namen Chromium veröffentlicht hat.

Der große Unterschied liegt im Verhalten: eFast ist Adware. Das Programm blendet auf den besuchten Webseiten eigene Pop-up- und Bannerwerbung ein. Durch den Verkauf dieser Werbung verdient der Hersteller sein Geld. Selbst die Resultate von Suchmaschinen werden durch Hinzufügen eigener Links verändert. Der Klick auf derartige Links oder Werbeeinblendungen führt normalerweise auf harmlose E-Commerce-Seiten. Bisweilen leitet die Werbung jedoch auf Seiten weiter, auf denen eine Infektion mit Schadsoftware droht.

eFast ersetzt Chrome

Während seiner Installation erhebt sich eFast zum Standardbrowser. Die Adware löscht – falls vorhanden – Verknüpfungen zu Google Chrome auf dem Desktop und in der Taskleiste, nicht aber die Programmdateien selbst. Sie erstellt eigene Shortcuts auf dem Desktop. Außerdem belegt sie die Zuordnung zu folgenden Dateitypen und Protokollen:

  • Dateitypen: gif, htm, html, jpg, jpeg, pdf, png, shtml, webp, xht und xhtml
  • Protokolle: ftp, http, https, irc, mailto, mms, news, nntp, sms, smsto, tel, urn und webcal

Verletzte Privatsphäre

Das Programm sammelt Nutzerdaten, um zielgruppenspezifische Werbung einzublenden. Umso problematischer ist, dass es ohne Datenschutzbestimmungen oder Lizenzbedingungen (EULA) ausgeliefert wird. Der User erfährt nicht, welche Daten der Hersteller, CLARALABSOFTWARE, sammelt und ob er diese weiterverkauft. Im schlimmsten Fall ist Identitätsdiebstahl oder Erpressung nicht auszuschließen. CLARALABSOFTWARE publiziert zwar eine Privacy Policy auf seiner Webseite, nimmt darin aber keinen konkreten Bezug auf den eFast-Browser.

Wer steckt dahinter?

In eigener Sache ist das Unternehmen, das seinen Namen bewusst in Anlehnung an ein legitimes kalifornisches Startup gewählt hat, mehr auf Privatsphäre bedacht. Auf seiner Homepage, die von Google als gefährlich eingestuft wird, finden sich keine Adressdaten. Die Registrierdaten der Domain sind durch WhoisGuard geschützt. Einzig die digitale Signatur seiner Software deutet darauf hin, dass das Unternehmen in Paris domiziliert ist. Ein Blick ins französische Handelsregister bestätigt dies. CLARALABSOFTWARE zeichnet auch für die nahezu identischen Adware-Programme BoBrowser, CrossBrowse, MyBrowser, Tortuga und Unico Browser verantwortlich.

So gelangt die Chrome-Fälschung auf den Rechner

eFast wird hauptsächlich über Freeware-Portale verbreitet. Die Adware versteckt sich in der Installationsroutine nützlicher Gratisprogramme. Mit dieser Bündelung generieren Download-Portale und Software-Autoren ein Einkommen.

Führt der Nutzer die vermeintlich einfachere Standardinstallation durch, wird der aggressive Fake-Browser ungefragt auf seinem System eingerichtet. Man merke: Um Drittsoftware abwählen zu können, ist unbedingt die benutzerdefinierte Installation zu wählen!

eFast installiert übrigens selbst Drittsoftware. Im Verzeichnis „%PROGRAM FILES%\efas_en_110010107“ legt das Programm eine Datei namens „predm.exe“ ab. Gemäß Virustotal-Scan handelt es sich um Adware des ebenfalls in Paris beheimateten Unternehmens Tuto4PC.com.

Bin ich betroffen?

Enthalten Webseiten ungewöhnlich viel Werbung, die teilweise sogar den Inhalt verdeckt oder öffnen sich mehr Pop-ups als üblich, lohnt es sich, genauer hinzuschauen.

Ob Ihr Browser von eFast ersetzt wurde, stellen Sie fest, indem Sie in dessen Adresszeile „chrome://chrome“ eingeben und die Enter-Taste drücken. Dadurch öffnet sich bei Google Chrome respektive dessen Klon die About-Seite. Findet sich darin der Name „eFast“, ist der Fall klar. Webbrowser, die nicht mit Chrome verwandt sind, reagieren auf die Eingabe entweder nicht (Firefox) oder mit einer Fehlermeldung (Internet Explorer).

eFast entfernen

Wurde das Adware-Programm installiert, hinterlässt es den Eintrag „eFast 000.110010107“ unter „Programme und Funktionen“ in der Systemsteuerung. (Die Systemsteuerung erreichen Sie bei Windows 7 über das Startmenü, bei Windows 8 und 10 durch einen Rechtsklick in die linke untere Bildschirmecke.) Haben Sie den Eintrag ausgewählt, lässt sich das unerwünschte Programm durch einen Klick auf die Schaltfläche „Deinstallieren“ problemlos entfernen.

Durch Weiterleitung auf dubiose Seiten könnten sich jedoch andere Mal- oder Spywareprogramme auf dem Computer eingenistet haben. Deshalb empfiehlt es sich, den Rechner mit einem Antivirenprogramm zu überprüfen. Dieser ist auch in der Lage, eFast selbst zu entfernen.

Lesen Sie auch:


Leser-Interaktionen

4-Punkte-Plan für einen guten Virenschutz

1Halten Sie Ihre Software und Betriebssystem auf den aktuellsten Stand. Installieren Sie zeitnah neue Service Packs und Sicherheitsupdates.

2Seien Sie aufmerksam beim Umgang mit E-Mails. Öffnen Sie keine unbekannten Dateiänhange und nehmen Sie sich in Acht vor Phishing-Mails.

3Verwenden Sie ein aktuelles Antivirenprogramm und halten die Virendefinition stets aktuell.

4Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht. Mehr Informationen zur Firewall

Ich will mehr Sicherheit

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert