Unerwünschte Anwendungen (PUA) in vielen Installationsdateien blockieren (OpenCandy)

rugk

Moderator
Mitarbeiter
Beiträge
1.013
Ort
Deutschland
Potentiell/Eventuell unerwünschte Anwendungen (PUA) sind Anwendungen, die teilweise in Installationsdateien enthalten sind, solch unerwünschte Dinge wie Toolbars installieren oder die Hompage des Browsers ändern.
Diese können - optional - von ESET erkannt werden. Dennoch wird eine PUA nicht erkannt (absichtlich, da wahrscheinlich sonst zu viele Installer geblockt werden würden.*
Sie nennt sich OpenCandy. OpenCandy ist eine Software-Bibliothek, die Entwickler in Ihre Installationsdateien einbinden können, um damit Geld zu bekommen.
Der englische Wikipedia-Artikel zeigt auch, von welchen Firmen diese so alles benutzt wird. Diese sind u.a. Auslogics Disk Defrag, CDBurnerXP (je nach Version), CrystalDiskInfo, Daemon Tools, DVDStyler, DVDVideoSoft, Foxit Reader, einige Freemake-Produkte, ImgBurn, MyPhoneExplorer, Nero Burning ROM, Nero Burning ROM, Orbit Downloader, PDFCreator, uTorrent, Winamp.

Aber es gibt eine Möglichkeit, dies zu verhindern, wie die Ersteller von OpenCandy in Ihrer eigenen FAQ erklären.
Ich habe das ganze etwas optimiert und vereinfacht. Hier meine Möglichkeiten:

Einfache Lösung

In der FAQ wird beschrieben, dass man den Installer einfach mit dem Parameter "/NOCANDY" starten kann und dies die Verwendung von OpenCandy verhindert.
Um dies zu vereinfachen, habe ich ein kleines Batch-Skript geschrieben. Downloade einfach das Skript und ziehe die Installationsdatei auf das Script.

Download
(alternativer Download-Link)

Lösung für ESET-Nutzer
Als ESET Nutzer kann man allerdings auch seine Einstellungen (u.a. der Firewall) so anpassen, dass OpenCandy blockiert wird.
Ich habe dies gemacht, die Einstellungen exportiert und etwas angepasst. Importiert die passende Einstellungsdatei und die Firewall-Regeln o.ä. werden automatisch hinzugefügt.
Es funktioniert sowohl mit ESET Smart Security als auch mit ESET NOD32 Antivirus.

Hinweis: Bitte beachtet, dass ich keine Haftung übernehme, wenn etwas nicht funktioniert. Ich empfehle dringend die aktuelle Konfiguration, vor dem importieren dieser, zu exportieren, um sie im Notfall wiederherstellen zu können.

NoOpenCandy_FirewallAndWebProtection.xml
Diese Datei ist für ESET Smart Security geeignet, denn sie enthält eine Firewall-Regel und einen Web-Schutz-Eintrag zum Blockieren von OpenCandy.
Achtung: Durch Importieren dieser Konfiguration wird die Blockierliste des Web-Schutzes überschrieben! Ihr solltet also keine Einträge dort enthalten haben, sonst werden diese gelöscht. Alternativ könnt Ihr auch NoOpenCandy_Firewall.xml importieren und die folgende Webseite manuell zu den blockierten Webseiten hinzufügen: *api.opencandy.com*.

Download
(alternativer Download-Link)

NoOpenCandy_WebProtection.xml
Diese Datei ist optimal für ESET NOD32 Antivirus, denn sie enthält nur die Webschutz-Regel und nicht die, der Firewall, die es bei NOD32 ja nicht gibt.
Achtung: Durch Importieren dieser Konfiguration wird die Blockierliste des Web-Schutzes überschrieben! Ihr solltet also keine Einträge dort enthalten haben, sonst werden diese gelöscht. Alternativ könnt Ihr die folgende Webseite manuell zu den blockierten Webseiten hinzufügen: *api.opencandy.com*.

Download
(alternativer Download-Link)

NoOpenCandy_Firewall.xml

Diese Datei enthält nur die Firewall-Regel. Diese könnt Ihr für ESS verwenden, falls Ihr in der Webseiten-Blockier-Liste bereits Webseiten eingetragen habt.

Download
(alternativer Download-Link)

Jetzt könnt Ihr das Ganze an einer Installationsdatei eurer Wahl testen. Allerdings werdet ihr keine Blockier-Benachrichtigung sehen, da ich dies in den Einstellungen nicht aktiviert habe. Ihr könnt es jedoch manuell aktivieren.
Dann sieht es so aus:
post-3952-0-08358800-1417379409.png
Den Anhang 179 betrachten

Also viel Spaß mit weniger Toolbars & co. ;)

Hier noch ein Link zu allen Dateien, die ich hier gepostet habe: MEGA oder workupload.com

* ESET kann OpenCandy erkennen. Allerdings nur, wenn die Erkennung von evt. unsicheren Anwendungen aktiviert ist. Siehe meine Ergänzung unten.

Edit: Neue Version hochgeladen, welche mehr IPs/Domains blockiert.
 

Anhänge

Zuletzt von einem Moderator bearbeitet:

rugk

Moderator
Mitarbeiter
Beiträge
1.013
Ort
Deutschland
Okay, nun ein kleines Update diesbeszüglich.

ESET erkennt auch Installationsdateien die OpenCandy enthalten. Allerdings muss man dazu die Erkennung von "evt. unsichere Anwendungen" aktivieren. Hier eine Anleitung, wie man dies macht.
Allerdings sind "evt. unsichere Anwendungen" etwas anderes als "evt. unerwünschte Anwendungen".
Hier ein Zitat aus der internen Produkthilfe von ESET:
Zur Kategorie der Potenziell unsicheren Anwendungen zählen Programme, die zwar erwünscht sind, jedoch potenziell gefährliche Funktionen bereitstellen.
Warum OpenCandy dort und nicht bei den evt. unerwünschten Anwendungen eingeordnet wird, weiß ich auch nicht - meiner Meinung nach würde es bei letzterem auch eher passen.

Wenn man die Erkennung allerdings aktiviert, löscht ESET normalerweise immer den gesamten Installer (bzw. verschiebt ihn in die Quarantäne) und somit kann man die Software danach nicht mehr installieren.
In meinen anderen Lösungsmöglichkeiten kann man die Software trotzdem installieren.

Wenn ihr die Erkennung dennoch aktiviert, dann wird OpenCandy mit folgender Meldung von ESET erkannt:
Den Anhang 135 betrachtenDen Anhang 134 betrachten
 

Anhänge

rugk

Moderator
Mitarbeiter
Beiträge
1.013
Ort
Deutschland
Hier mal ein Update: Ich habe die Dateien aktualisiert und dabei mehr Domains bzw. IPs von OpenCandy hinzugefügt, die jetzt auch blockiert werden.
Wenn du schon die alte Version benutzt hast, lösche einfach die Firewall-Regel und importiere die neue Einstellungsdatei.
 

Similar threads


Top