Der Druckerhersteller Procolored hat auf seinem Downloadportal sechs Monate lang unabsichtlich Schadsoftware zum Download bereitgestellt. Trotz Hinweisen von Kunden, bei denen der lokal installierte Malwareschutz die Dateien als schädlich erkannt hat, unternahm das Unternehmen nichts. Im Gegenteil: Offizielle Aussage des Herstellers, der sich unter anderem auf Textil-Drucker spezialisiert hat, ist dass alles in Ordnung sei und es sich bei den Meldungen um Fehlerkennungen handele. Der Hersteller hat die fraglichen Dateien inzwischen von der Webseite entfernt. Eine eingehende Analyse der zuvor heruntergeladenen Daten lieferte jedoch ein eindeutiges Ergebnis:
Die Erkennungen sind echt und geben Anlass zur Sorge.
Blinde Passagiere
Es begann mit einem Produkttest. Als Cameron Coward, der Betreiber des Youtube-Kanals „Serial Hobbyism”, für einen Bericht über einen Spezialdrucker von Procolored den USB-Stick mit der Druckersoftware am PC einsteckte, warnte die Antiviren-Software vor Malware. Als das Unternehmen auf Nachfrage versicherte, dass es sich um Fehlalarme handelte, suchte er auf Reddit einen professionellen Malware-Analysten, um die Dateien prüfen zu lassen. Fachleute von G DATA haben die Dateien eingehend geprüft.
Das Problem war jedoch nicht die Druckersoftware selbst, sondern einige „blinde Passagiere“, die zusammen mit Treibern und Co. ausgeliefert wurden. Eine Backdoor, die inzwischen verwaist ist sowie ein auf den Diebstahl von Kryptowährungen spezialisierter Virus waren zweifelsfrei nachweisbar. Wie viele Kunden sich die infizierten Installationsdateien heruntergeladen haben, ist unklar – doch es dürfte sich aufgrund der Zeitspanne, die die Dateien verfügbar waren, um eine größere Anzahl handeln.
Besonders besorgniserregend: Da der Hersteller die Information herausgegeben hat, dass es sich um Fehlerkennungen handelt, dürften viele Kunden in ihrem Malwareschutz eine Ausnahme für die Dateien konfiguriert haben.
Wer derzeit Software von Procolored einsetzt, sollte daher dringend prüfen, ob hier im Malwareschutz Ausnahmen dafür gesetzt sind (für Prozesse, Dateien oder Ordner) und diese Ausnahmen entfernen. Sofern eine aktuellere Version der Procolored-Software zur Verfügung steht, sollte diese installiert werden.
Versäumnisse des Herstellers
Beim Herunterladen von Software jeglicher Art raten Expertinnen und Experten seit Jahren immer zur Nutzung offizieller Quellen wie etwa Herstellerwebseiten oder eingebaute Updatefunktionen. Beispiele wie dieses zeigen jedoch, dass Hersteller in der Pflicht sind, ihre Update-Wege abzusichern. Das hat in diesem Fall offenkundig nicht stattgefunden. Über die Gründe dafür lässt sich spekulieren – aber potenziell hat hier das vollständige Fehlen einer Prüfung zu der Situation geführt.
Wir haben den Hersteller direkt kontaktiert und über unsere Erkenntnisse informiert. Dieser hat innerhalb weniger Stunden geantwortet und räumt ein, dass die Druckersoftware ursprünglich über einen USB-Stick übertragen wurde, und dass damit die Möglichkeit besteht, dass Schadsoftware auf diesem Weg in den Downloadbereich gelangt ist. Gleichzeitig schreibt der Support des Herstellers, dass die Erkennungen auch dadurch zustande kommen können, dass die Default-Sprache der Software Chinesisch ist, und dies auf Systemen zu Problemen führen könne, wenn diese "nicht gut mit Programmen zurechtkommen, wenn diese eine andere Standardsprache als Englisch haben".
Gerade letztere Aussage halten wir bei G DATA jedoch für unrealistisch.
Procolored schreibt weiter, man habe vorsichtshalber alle Downloads von der Webseite entfernt und werde diese erst "nach einer eingehenden Virenprüfung" wieder zum Download bereitstellen. Nutzer werden gebeten, die aktuellste Software ausschließlich aus den offiziellen Quellen zu beziehen.
Procolored hat G DATA die aktuelle Version der Drucker-Software zur Überprüfung übersendet. Die übersendete Version ist virenfrei.
Alle Details zu den gefundenen Schadprogrammen sind in der ausführlichen Analyse von Principal Malware Researcher Karsten Hahn nachzulesen (Artikel in englischer Sprache; Link öffnet sich in einem neuen Fenster)
Stellungnahme des Herstellers im Original
Following your message, we immediately contacted the Procolored technical team to investigate. Below is our official response to the concerns you raised:
How did this happen?
The software hosted on our website was initially transferred via USB drives. It is possible that a virus was introduced during this process. Additionally, as the PrintEXP software is in Chinese by default, some international operating systems may incorrectly flag or misinterpret it as malicious, especially if the system does not handle non-English programs well.How will we make sure this does not happen again?
As a precaution, all software has been temporarily removed from the Procolored official website. We are conducting a comprehensive malware scan of every file. Only after passing stringent virus and security checks will the software be reuploaded. This is a top priority for us, and we are taking it very seriously.Advice for potentially affected customers:
For the users who have reported related issues, Procolored engineers have already provided individual support and solutions. Once all software has been thoroughly reviewed and confirmed safe, we will update the website and notify customers through our official channels to download the latest version.Regarding alternative software sources and availability for testing:
We strongly advise against downloading Procolored software from non-official sources, as we cannot guarantee their integrity. After completing our internal checks, we will be happy to provide you with a sample for your verification.
