Avira Software statt Malware
Der Malware-Experte von Avira, Moritz Kroll, erläuterte dazu:
„Der Inhalt hinter der für den Download der Malware vorgesehenen URL wurde ersetzt, darüber wird nun eine originale und aktuelle Version des Avira Web Installer statt des sonst üblichen Dridex Loader aufgerufen.“
Die Nutzer bekommen nun statt Malware die Signierte Avira-Software.
Erklärungsversuche sehen einmal eine Verwirrungstaktik, das bedeutet, die Erkennungsprozesse von Avira und anderen Sicherheitsfirmen zu verwirren. Zum anderen wird ein Whitehat-Hacker dahinter vermutet. Dazu Kroll:
„Es ist möglich, dass ein Whitehat die Webserver über dieselbe Schwachstelle angegriffen hat, die zunächst die Malware-Autoren genutzt hatten und dann die schlechten Sachen durch den Avira Installer ersetzt hat“
Avira Installer auch in Ransomware-Varianten
Auch den Ransomware-Varianten CryptoLocker und Tesla war der Avira Installer in der Vergangenheit hinzugefügt worden. Während im Zusammenspiel mit CryptoLocker Avira nicht ausgeführt werden konnte. Besteht Unklarheit über die Gründe des Einbaus vom Avira-Installer bei der Tesla-Ransomware.