Jeder kennt die fiese AdWare die man sich beim Download von Software einfangen kann, wenn man bei der Installation nicht richtig aufpasst oder einfach unseriöse Quellen benutzt. Meist verankern sich diese Quälgeister in existierenden Browsern indem sie die Startseite, Suchmaschinen und auch die Aufruf-Verlinkungen der Browser so verändern, dass sie beim Start immer mit geladen werden.
Malwarebytes berichtet jetzt auf Ihrem Blog von einem ganz besonders dreistem Fall. eFast nennt sich der Schädling der sich auf dem System installiert und gleich sich gleich als Standardbrowser setzt. Dazu setzt er sich einfach als Standard-Programm in den Datei- und Protokollzuordnungen für alles was mit dem Web zu tun hat. Darunter Dateiformate wie gif, html, png aber auch Protokolle wie http, https oder ftp.

Woran kann man die Infektion erkennen?

Ihr könnt direkt in diese Einstellungen reinschauen sucht dazu in Eurer Systemsteuerung nach “Standardprogramme” oder ab Windows Vista direkt über die Suche die mit der Windows-Taste zu erreichen ist. Wählt dort “Dateityp oder Protokoll einem bestimmten Programm zuordnen aus”. Hier sollte bei HTTP oder HTTPS euer Standard-Browser wie zum Beispiel der Google Chrome stehen. Im Fall einer eFast Infektion steht dort eFast. Ihr könnt aber auch direkt unter “Standardprogramme” nach eFast suchen um zu sehen ob die Software auf eurem System ist.
Außerdem legt die Schadsoftware noch Desktopverknüpfungen zu bekannten Webseiten, wie Amazon, Youtube oder auch Facebook an. Diese Verknüpfungen werden dann direkt im eFast Browser aufgemacht.

shortcuts

Quelle: blog.malwarebytes.org

Wenn Ihr die Installation von eFast einmal durch habt, werden auch Eure bisherigen Verknüpfungen zum Google Chrome gelöscht. Die Software hat es nämlich gezielt auf Chrome-Benutzer abgesehen. So ist das Design des eFast Browsers eine reine Kopie des Google Chrome und sogar das Symbol selbst sieht Chrome zum verwechseln ähnlich. Wenn man nicht genau hinschaut, sieht man den Unterschied praktisch nicht. Vergewissern könnt Ihr euch indem Ihr im geöffneten Browser in die Adresszeile “chrome://chrome” eingebt. Dort steht im Falle eine eFast Infektion “eFast”.

Was ist so schlimm daran?

Sieht aus wie Chrome und fühlt sich an wie Chrome, was ist also so schlimm daran? Zu dem Browser gibt es keine Informationen im Netz. So findet man auch keine Datenschutzerklärung oder Lizenzvereinbarung.
Und natürlich gibt es die bekannten Nebenwirkungen einer Adware. Pop-Ups kommen aus dem Nirgendwo, Werbung von Webseiten wird ersetzt oder gar neu eingesetzt und natürlich landet Ihr auch auf Webseiten auf denen Ihr euch Viren einfangen könnt.
Auf Virustotal wird die Software auch bereits von einem Großteil der AV-Hersteller erkannt.

Ein gutes Zeichen für den Google Chrome.

Für Google sollte eFast ein Kompliment sein. Denn das Sicherheitskonzept des Google Chrome wurde bereits mehrfach gelobt und dieses Beispiel zeigt, dass es wohl einfacher ist, den Browser gleich ganz zu ersetzten als Ihn zu Infizieren. @SwiftOnSecurity (ein Bekannter Twitter-Account, wenn es um IT-Security geht) hat das nochmal deutlich in Ihren Tweets erwähnt.

Wie bekomme ich das weg?

Malwarebytes hat eine Anleitung zum Entfernen in seinem Forum veröffentlicht. Darüber hinaus kann aber auch die aktuelle Version von Malwarebytes Anti-Malware den Schädling erkennen und entfernen. Diesen könnt Ihr hier herunterladen.