Illustration: Simon Prades

Ich habe mir alle Viren eingefangen, die ich in einer Halbzeit kriegen konnte

Daniel Mützel

Pop-ups, Malware, Viren: Was passiert, wenn man die ganze Shitware beim halblegalen Fussballstreaming einfach gnadenlos annimmt?

Illustration: Simon Prades

Die einen warnen, die anderen sind genervt: grell flimmernde Pop-Ups, virenschwangere „Sicherheits"-Updates, geheime Börsentricks, die dir in 3 Minuten erklären, wie du auf einen Schlag deine letzten Kröten verspielen kannst – die Streaming-Szene läuft zu Höchstform auf, wenn es darum geht, Nutzer mit bescheuerter Adware vollzuspammen.

Auch illegales Streaming hat seinen Preis, nicht nur das dürre Nervenkostüm zahlt kräftig. Laut Skys Anti-Piraterie-Experte Sascha Tietz kann schon das reine Surfen auf diesen Seiten gefährlich sein. Heimcomputer werden unbemerkt infiziert und private Daten „für unlautere Zwecke missbraucht", erklärt er gegenüber Motherboard. Mehr noch, Streamer laufen Gefahr, zu aktiven Komplizen von Hackern zu werden: „Es ist durchaus wahrscheinlich, dass jemand, der sich regelmäßig illegale Streams anschaut, Teil mindestens eines kriminellen Bot-Netzes ist, über das Spam und Malware verbreitet wird," so Tietz.

Wir wollten es genau wissen und haben beim Champions-League-Hinspiel zwischen Real Madrid und Manchester City alles angeklickt, was die Ad-Unterwelt des illegalen Sport-Streamings zu bieten hatte. Zweifelhafte Flash-Updates, absolut professionelle JavaScript-Downloads und Virenschutz-Software, die mit argen Rechtschreibfehlern beworben wird—bei allem, was von weitem irgendwie nach Schadsoftware roch, haben wir eine Halbzeit lang, so schnell es ging, auf „Download" geklickt.

Spoiler: Erst 30 Sekunden vor Ende der ersten Halbzeit hatten wir endlich die ersten vertonten Bilder im Monitor. Während es auf dem Rasen am Ende bei einem müden Unentschieden blieb, erlitten wir in unserem Download-Ordner eine herbe Schlappe: 0:56 stand es am Ende für die Viren- und Bot-Community.

Die Versuchsanordnung

Die Zutaten für das Vireneinfangprojekt orientierten sich an allgemein akzeptierten Maßstäben: Windows-Betriebssystem (via Virtual Machine), das international anerkannte Viren-Pheromon Internet Explorer und natürlich eine deaktivierte Firewall. Das Ganze auf einem alten Schrottcomputer, der vom Firmennetzwerk abgeklemmt wurde, damit man die gewonnenen Millionen nicht mit den Kollegen teilen muss.

(Der Vollständigkeit halber sei erwähnt, dass bei diesem Experiment ausreichend Bier und Pizza konsumiert wurde, was zu zusätzlichen Verzögerungen führte.)

Die Umsetzung

Der einfachste Weg in die Welt des illegalen Sport-Streamings beginnt bei Google. Die ersten Suchergebnisse verlinken zunächst jedoch nicht zu den erwünschten Seiten. Sie sind sogar eine mehr oder minder raffinierte Sackgasse und führen lediglich zu suchmaschinen-optimierten „Artikeln" von Focus oder der Huffington Post. Die Posts bieten keinerlei Infos dazu, wo der Stream, der legal nur im Pay-TV läuft, kostenlos angeschaut werden kann, und verfolgen stattdessen nur den Zweck, durch kluge Platzierung entsprechender Signalwörter („Livestream", „Champions League") vom Google-Algorithmus ganz hoch in die Suchliste gepusht zu werden. Sogar legale Websites versuchen hier also ein Stück vom Kuchen der sportbegeisterten Gratis-Seher abzugreifen. Ein für den User etwas „unlauterer" Move, aber (noch) nicht illegal.

Nach etwas Scrollen durch die Google-Suchergebnisse, aus denen während einer Live-Übertragung ständig Links aufgrund von Urheberrechtsverstößen entfernt werden, landen wir auf der Seite eines großen Anbieters illegaler Streams. Die Seite hat ein ganz passables Image in Streaming-Kreisen und eine überschaubare Auswahl an Mirrors, die von Nutzern bewertet werden können. Ich klicke auf den mit der besten Quote (86 Prozent) und werde gleich zu Beginn von einer aus mehreren Schichten bestehenden Pop-up-Wand begrüßt. Ich werde zunächst darüber informiert, dass mein Flash-Player veraltet sein könnte und ich daher ein dringend empfohlenes Update installieren sollte, was ich umgehend in Auftrag gebe. Da der Treiber extra für mich empfohlen ist, quasi auf meine individuellen Aktualisierungsbedürfnisse zugeschnitten, ziehe ich mir die knapp ein MB große Datei guten Gewissens auf meine jungfräuliche Festplatte.

Hört sich so ein Virus an? Versucht es, mit mir zu kommunizieren?

Bevor ich mich zur nächsten Ad-Schicht durcharbeiten kann, warnt mich eine plötzlich aufpoppende „Nachricht von webpage" davor, irgendwelche unüberlegten oder riskanten Dinge zu tun, da ich Spy- oder Adware auf meinem Computer haben könnte. Schlimmer noch, fährt der unbekannte Helfer fort: Mein Facebook-Account, Kreditkarteninformationen, Skype-Chatverläufe und sogar meine „Webcam-Privatsphäre" seien in Gefahr. Zum Glück bietet die ominöse webpage-Nachricht Soforthilfe an, eine Art „Webcam-Privatsphäre"-Sorgentelefon, zu dem ich mich natürlich sofort durchstellen lasse.

Der Anruf verläuft erwartungsgemäß enttäuschend. Ich vernehme nur eine etwas penetrante Melodie im Hintergrund. Hört sich so ein Virus an? Versucht es, mit mir zu kommunizieren? Egal, nach 30 Sekunden lege ich auf.

Bild: Screenshot

Währenddessen meldet der SPON-Liveticker „enorm giftige Engländer", die mit „aggressiver Spielweise" die Madrilenen in die Enge treiben.

So giftig und aggressiv wie die Pop-up-Plage vor mir können die unmöglich sein, denn es wartet bereits das nächste Update auf mich. Neben dem notorischen Unsicherheitsgaranten Flash Player werde ich gebeten, das allgemein bekannte Sicherheitsrisiko Java zu aktualisieren. Es trüge dazu bei, die „Sicherheit meines Systems" zu verbessern, lies: zu gefährden. Ich klicke auf Download.

Mein wildes Herumgeklicke auf der Suche nach einem funktionierenden Stream beginnt langsam, mich in den Wahnsinn zu treiben. Statt wohligem Bass-Geraune eines Fußball-Kommentators ertönt plötzlich aus dem digitalen Äther eine roboterhafte Frauenstimme, die mich davor warnt, dass meine Kreditkarteninformationen in Gefahr seien. Dummerweise habe ich inzwischen so viele Tabs im Browser offen, dass ihr Aufsager rund zehn Mal in Dauerschleife läuft, bis ich den Übeltäter gefunden habe (den kompletten Internet Explorer zu schließen ist selbstverständlich keine Option – ich bin ja einem funktionierenden Stream schon zum Greifen nahe!).

Nach dem Ärger mit der Roboterdame, und mit dem allseits gefürchteten Malware-Duo Flash & Java im Festplattengepäck, wiege ich mich langsam in Sicherheit, schon bald auf meinem wohlverdienten Stream zu landen.

Doch es ist eine trügerische Sicherheit. Denn ich mache den gleichen Fehler wie vorhin: Ich unterschätze die Kreativität der Malware-Architekten. Die vorerst letzte Hürde vor dem Stream-Fenster wird von einem besonders fiesen Pop-up geschützt, eine Art Pop-up-Endgegner, der sich weder durch einen Klick auf das „Ja" noch auf das „Nein" noch auf eines der beiden „x" entschärfen lässt. Egal was man klickt, man gelangt zum selben Inhalt. Die Auswahl ist fingiert, die Freiheit der Wahl nur scheinbar.

Ohne mich mit den philosophischen Konsequenzen dieser Erkenntnis weiter aufzuhalten, gebe ich mich meinem Schicksal hin und hole mir ein weiteres dringend empfohlenes Schadprogramm, diesmal den „Windows 7 Treiber". Die höchstoffiziell von Microsoft und den Sicherheitsgöttern von McAfee zertifizierte Datei enthält, wie die spätere Analyse zeigen wird, sieben unerwünschte Programme mit so erbaulichen Namen wie "Trojan.InstallMonster" oder "Win32.Poison". Ersterer gehört laut Trojaner-Info zur „Familie von Trojanern, die unerwünschte Software im Rahmen des Partnerprogramms Installmonster herunterladen und installieren" und landete im letzten Jahr auf einer Viren-Hitlist des IT-Spezialisten Doctor Web; letzterer ist ein Backdoor-Trojaner der übelsten Sorte, mit dessen Hilfe sich ein Angreifer Zugriff auf den infizierten Computer verschaffen kann.

Jetzt aber. Immerhin schon die 26. Minute, wie mich der Liveticker auf dem cleanen Zweitgerät wissen lässt.

Die Hoffnung, dass mein unterwürfiges Nutzerverhalten endlich zu meinem ersehnten Live-Stream führt, zerschellt am nächsten Werbefenster. Es erscheint wie aus dem Nichts, obwohl ich mir sicher bin, diesmal gar nichts angeklickt zu haben. Vielleicht brauche ich das auch gar nicht mehr, denn ich stehe mittlerweile auf der Whitelist russischer Super-Bots, die Wind davon bekommen haben, dass irgendwo in Berlin eine leichtgläubige und unschuldige IP-Adresse hockt, die wie besoffen alles anklickt und die sie mit den schauerlichsten Endzeit-Viren versorgen können.

Der Ad ist grafisch nahezu identisch mit dem davor, statt dem „Windows 7 Treiber" wird mir nun ein gewisses „Windows 7 PC Repair"-Dings nahegelegt. Selbstverständlich wieder meiner eigenen Sicherheit zuliebe, wieder mit dem Microsoft-Logo zertifiziert.

Also lade ich mir die nächste Ladung Shitware herunter, die es laut Analyse auf zehn Schadprogramme bringt.

Langsam werde ich ungeduldig. Ich war mir bewusst, dass ich mich durch ein Labyrinth an penetranten Bannern und widerspenstigen Pop-ups durchwurschteln muss, aber langsam wird mir klar, dass mein bereitwilliges Draufgeklicke alles nur noch schlimmer macht. Die Viecher scheinen zu lernen!

Währenddessen rattert der Ticker unaufhaltsam weiter. Reals Offensive ohne Ronaldo wie gelähmt, Manchesters Abwehr stabil.

Auch die Pop-up-Abwehrkette auf meinem Bildschirm ist beängstigend stabil. Jedes Mal, wenn ich für Sekundenbruchteile aufs Streaming-Fenster hindurchlugen kann, taucht ein neues super-wichtiges Update auf.

„Warnung! Diese Seite wird dein Leben verändern!"

Das nächste Malware-Ei, das mit in den Monitor gelegt wird, ist ein Programm, mit dem ich angeblich kostenlos Dateien verschicken kann und das mir obendrein verspricht, mein Leben mittels eines „online To-do list"-Tools zu organisieren. Verstehe. Das sind dann wohl so eine Art Viren zweiter Ordnung: Die helfen nicht nur, deine Computer zu kapern, sondern können sogar dein analoges Leben infiltrieren.

So soll es sein. Die fünfte und letzte File, die meine Festplatte infizieren wird, heißt „SendFilesFree24" und enthält insgesamt 24 Malware-Dateien.

Mit diesem Rundum-sorglos-Paket an unerwünschter Trojaner-Fracht werde ich schlussendlich belohnt: Das Stream-Fenster ist frei. Nur noch ein Klick auf das Play-Icon und…

Zu früh gefreut. Streamer müssen einen langen Atem haben. Bis zu meinem endgültigen Ziel sollten es noch einige Etappen mehr sein. Auf dem Weg begegnen mir noch eine weitere „Nachricht von webpage" (die nur Hieroglyphen enthält), eine „Warnung! Diese Seite wird dein Leben verändern" russischer Wettbüros, und eine Art Online-Geldvermehrungsmaschine, die zunächst mit krassen facts auf sich aufmerksam macht – „Wichtig zu verstehen: Internet lebt von Werbung!" – und dann in vollkommen nachvollziehbarer Weise vorrechnet, wie ich 327 Tacken am Tag verdienen könnte.

Irgendwann lande ich dann auf einem einigermaßen funktionierenden Stream, der auf einen gleichermaßen abstrusen wie vertrauenserweckenden Namen hört. Da ist auch schon die Spielminute 44 erreicht, ein verpixelter Otamendi blockt gerade eine Hereingabe seines Lego-Bruders Bale, Ecke. Der Stream ruckelt etwas, aber ich bin froh, endlich Fußball schauen zu können.

Das Ergebnis

Die Analyse ergibt: Unsere wildesten Viren-Phantasien wurden nicht bestätigt (der Computer ist nicht in Rauch aufgegangen; es steht kein Schutzgelderpresser vor der Tür), aber 56 Schadprogramme bei einer dreiviertel Stunde Surfen ist eine ganz passable Ausbeute. Zusammenfassend lässt sich sagen: An einen Virus kommt man schneller als an einen funktionierenden Stream.

Nicht eingerechnet sind alle unsichtbaren Schadprogramme, die über so genannte Drive-by-Downloads auf den Rechner gelangen. Diese Programme nutzen Sicherheitslücken von Browsern und Web-Anwendungen, um sich beim Surfen unbemerkt auf das Endgerät zu schleichen. Das heißt, man muss gar keine Ads anklicken oder fragwürdige Dateien herunterladen, um sich damit zu infizieren – ein Besuch der Seite genügt. Das Risiko, sich mittels Drive-by-Downloads schädliche Software einzufangen, steigt mit Streams, die sich nur mit deaktivierten Adblocker anschauen lassen, warnt Anti-Piraterie-Experte Tietz.

Eine dritte Möglichkeit, sich an der Vielfalt der Virenkultur im Netz zu bereichern, sind laut Tietz Proxies, die sich unbemerkt in ahnungslose Rechner einnisten, um vor dort aus die angezeigten Werbebanner im Browserfenster zu steuern. Die von einer Website eingekaufte Werbung verschwindet und wird durch andere, vom Proxy ausgewählte Anzeigen ersetzt—was wiederum die Werbeeinnahmen derjenigen in die Höhe treibt, die mit den Anbietern der illegalen Streams zusammenarbeiten.

Vielleicht sollte ich einschränkend sagen, dass ich mich nicht wirklich beeilt habe, und das viele Downloaden den Bierdurst in die Höhe treibt. Wer die richtigen Seiten kennt und sich zielstrebig durchklickt, sollte tatsächlich nicht allzu lange brauchen, um zu einer der funktionierenden illegalen Live-Schalte zu kommen—auch wenn er dabei Gefahr läuft, dass die Übertragung durch die Streaming-Jäger von Sky mittendrin abgeschaltet wird.

So, und jetzt die zweite Halbzeit, sich zurücklehnen, das nächste Bier aufmachen und die Trojaner, Würmer und sibirischen Super-Bots in Ruhe arbeiten lassen. Prost.

Update: In einer früheren Version dieses Artikels hieß es, Sascha Tietz arbeite als Sprecher bei Sky. Tatsächlich ist er als Anti-Piraterie-Experte bei dem TV-Sender tätig. Wir bedauern den Fehler.

Redaktionelle Mitarbeit: Max Hoppenstedt