Viren, die sich als Viren-, Spyware oder Security-Scanner-Tools ausgeben, werden als „Rogue“ bezeichnet und nehmen in jüngster Zeit massiv zu.

„In den letzten Tagen sind vermehrt Webseiten aufgetaucht, die mit vermeintlichen Viren-/SpywareScannern „aggressiv“ auf vorgebliche Sicherheitslücken und Fake-Meldungen wie „Achtung kein Virenschutz vorhanden“ hinweisen und den Anwender zum Download eines Antivirus oder Antispyware-Tool auffordern., so Joe Pichlmayr, Geschäftsführer bei IKARUS Security Software. Der Gratis PC-Scanner fördert wenig überraschend dann auch schnell einen Virenfund zu Tage. Dieser ist jedoch nur vorgetäuscht und verschleiert die Tatsache, dass die eigentliche Viren- oder Spywareinfektion schon mit der Installation des „Gratis-Scanner-Tools“ erfolgt ist.

Von diesen Fake-Scannern gibt es zwei Varianten.

Variante 1 scannt den PC per Weboberfläche und fordert den Besucher nach einem Virenfund - der allerdings nur vorgetäuscht ist - auf, den Remover downzuloaden. Dies kann - je nach „Anbieter“ - gratis bzw. gegen Bezahlung erfolgen. Bei der Installation des "Removers" werden nicht nur die vermeintlichen Viren entfernt, sondern es werden noch ein oder mehrere "Zusatztools" ohne Wissen des Anwenders installiert. Dies sind im Regelfall Adware oder Spyware, immer häufiger aber auch Backdoors und andere Trojaner.

Variante 2 fordert den Besucher gleich zum Download und der Installation des Scanners auf. Adware/Spyware und andere Malware wird somit durch den Besucher freiwillig mit dem „Virenscanner“ installiert. „Nur, dass man die Sache mit dem Virenscanner halt fast zu wörtlich nimmt.“, meint Joe Pichlmayr.

IKARUS warnt in diesem Zusammenhang vor allem vor der Website www.antivirus-scanner.com, die vor allem durch sogenannte „redirects“ manipulierter Websites angesteuert wird und sehr aggressiv auf den Download eines Gratis-Scanners „drängt“.

Ein neuer und besonders unangenehmer Vertreter dieser „Rogue“Gruppe war der Backdoor-Guard, der nach erfolgreicher Installation den Rechner sperrte und zum Anruf einer kostenpflichtigen Telefonnummer aufforderte, damit der Rechner wieder entsperrt werden kann.

Webseiten mit einem Fake-Scanner sind im Übrigen mit einigen Klicks bzw. auf den ersten Blick leicht zu erkennen.
Gibt es nur wenige Webseiten, keine Information über den Anbieter, keine Support-Seiten, fordert jeder Klick zum Download einer Datei auf oder wird man gleich zum Kauf des Scanners/Removers weiter geleitet, so handelt es sich mit sehr hoher Wahrscheinlichkeit um eine „Rogue“-Webseite.

Wer auf Nummer sicher gehen will, kann im Zweifelsfall eigene „Rogue-Warning“ Sites konsultieren. http://www.spywarewarrior.com/rogue_anti-spyware.htm