Da wir, unter anderem, diverse kleine Systeme von der Marke AceMagic getestet und auch in unsere Kategorie „Mini-PC“ aufgenommen haben, führt an dem heutigen, eher unangenehmen Bericht, leider kein Weg vorbei. Kürzlich wurde von mehreren Seiten berichtet, dass auf verschiedenen Mini-PCs von AceMagic Viren beziehungsweise Malware gefunden wurde. Und nicht „nur“ irgendein kleines Würmchen, sondern direkt hinterhältige Programme von der übelsten Sorte. Schauen wir uns also mal an, was genau ich auf den Computern finden konnte.
Ausschlaggebend war sehr wahrscheinlich die Veröffentlichung dieses Videos:
Ich habe mich kurz darauf durch Zufall mit dem Youtuber auf Reddit ausgetauscht und mich nachfolgend auch an ein paar Bildern aus dem Video bedient. Wieso ich keine eigenen Bilder machen konnte, erklärt sich gleich. Angefangen hat es, als „The Net Guy“ einen Acemagic AD08 für die persönliche Verwendung eingerichtet hat und nach einer Weile diese wunderbare Meldung vom Windows Defender erhielt:
Die warnt vor der Infizierung des Systems mit MSIL/Bladabindi, einem unerwünschten Backdoor-Zugriff.
Acemagic AD08 Mini-PC im Test – Exotisches Gehäuse, RGB-RAM und ein Intel Core i9-11900H
Ich hatte dieses System ebenfalls im Test, aber bereits Ende vergangenen Jahres. Während meiner Zeit damit habe ich keinerlei Meldungen bezüglich einem Virenbefall erhalten. Bevor ich auch nur den ersten Benchmark durchführe, lasse ich erst alle Windows- und Sicherheitsupdates installieren. Wieso die Warnung bei „The Net Guy“ erst im Verlauf der späteren Einrichtung und nicht sofort kam, könnte mit einer Aktualisierung der Defender-Definitionen im Hintergrund erklärt werden.
Nach dem Test habe ich den AD08 Mini-PC aber per Cloud-Installation komplett zurückgesetzt, eventuell doch noch vorhandene und versteckte Bedrohungen lassen sich daher nicht mehr nachvollziehen. Allerdings sollen auch andere Modelle betroffen sein, beispielsweise der AD15 und S1. Für Das Modell AD15 war eigentlich auch ein Review geplant, welches dann aber plötzlich kurzfristig abgesagt wurde. Ich möchte mich nicht zu weit aus dem Fenster lehnen, aber vermutlich hängt das mit den Virenfunden zusammen. Ein noch ungeöffnetes Exemplar des Acemagic S1 hatte ich aber noch. Auf dem gab es die im oberen Fund angegebene „ENDIDEV.exe“ zwar nicht, dafür aber „ENDEV.exe“ im selben Pfad.
- VirusTotal Scan für den gesamten Ordner „OsVer“
- VirusTotal Scan für „ENDEV.exe“
- Download von OsVer.zip
Den gesamten Ordner habe ich mir kopiert und anschließend gescannt. Windows Defender hatte daran nichts auszusetzen, die paar Funde bei VirusTotal sind auch in Ordnung und sehr wahrscheinlich False-Positives. Modifiziert wurde aber etwas am Setup, denn der sonst übliche Account-Zwang von Windows 11 war bereits umgangen. Das geht übrigens auch ganz einfach via trennen der Netzwerkverbindung, Shift + F10 während des Setups und Eingabe von OOBE\BYPASSNRO.
Die in der RGB-Software versteckte Malware vom Typ Trojan:Win32/Redline.FG!MTB ist scheinbar bereits vor einigen Monaten auf dem Acemagic S1 gefunden worden, aber auch hier konnte ich auf meinem Modell kein Problem feststellen.
- VirusTotal Scan für den gesamten Order „CYX_TftTool“
- VirusTotal Scan für „LedControl.exe“
- Download von CYX_TftTool.zip
Scheinbar habe ich bei beiden Modellen bereits eine neuere Revision erhalten, die nicht betroffen ist. Und was sagt eigentlich der Hersteller dazu? In einem Blogpost von letztem Monat entschuldigt man sich für Probleme mit einem vorinstallierten Browser, aber ansonsten habe ich noch keine offizielle Stellungsnahme finden können.
Und was hat es damit auf sich? Mein Acemagic S1…
…kommt mit Google Chrome bereits vorinstalliert, aber damit nicht genug:
Als Suchmaschine war in Chrome bereits „navwithus“ festgelegt.
Im neuen Tab öffnet sich zusätzlich nicht die Standard-Seite von Google Chrome, sondern „UpSearches“. Dazu hat Acemagic laut windowscentral neben einem 60$ Coupon für den eigenen Shop noch Folgendes zu sagen:
„The issue affecting web search stemmed from ACEMAGIC’s previous supplier of bulk installation systems. The supplier independently added pre-installed software without ACEMAGIC’s explicit authorization. In response, ACEMAGIC has severed ties with this supplier and has transitioned to a new partner, ensuring strict adherence to transparency and user-centric values.“
Beziehungsweise frei übersetzt:
„Das Problem, das die Websuche betraf, stammte von ACEMAGICs früherem Lieferanten von Masseninstallationssystemen. Der Lieferant fügte eigenständig vorinstallierte Software ohne die ausdrückliche Genehmigung von ACEMAGIC hinzu. Als Reaktion darauf hat ACEMAGIC die Beziehungen zu diesem Lieferanten abgebrochen und ist zu einem neuen Partner gewechselt, der die strikte Einhaltung von Transparenz und nutzerzentrierten Werten gewährleistet.“
Scheint so, als ob dieser neue Partner wohl eine noch schlechtere Wahl gewesen ist als der Vorherige.
Und wie geht es auf unserer Seite jetzt weiter?
Ich werde meiner Checkliste für Testberichte von Mini-PCs oder anderen bereits vorinstallierten Systemen einen Punkt mit manuellem Virenscan hinzufügen. Ich persönlich rate zwar sowieso jedem dazu, nie das vorinstallierte Windows zu benutzen, egal ob der Computer von Asus, Dell, Lenovo oder einer kleinen Bude aus fernem Lande stammt. Trotzdem bin ich mir der Tatsache bewusst, dass diesem Ratschlag wohl nur die Wenigsten nachgehen und sich den Aufwand lieber sparen. Derzeit habe ich noch einige bereits zugesagte Testgeräte in der Warteschlange, zu denen es auch noch Artikel mit entsprechend prominent platziertem Hinweis zu dieser Situation geben wird. Ob wir unsere Zusammenarbeit mit Acemagic danach noch fortsetzen, ist aber eher fraglich. Die bisherige Reaktion ist auf jeden Fall nicht zufriedenstellend für unseren Maßstab.
116 Antworten
Kommentar
Lade neue Kommentare
Mitglied
Urgestein
Veteran
1
Urgestein
Veteran
Veteran
Veteran
Veteran
Urgestein
Mitglied
Neuling
Urgestein
Urgestein
Urgestein
Urgestein
Urgestein
Urgestein
Mitglied
Alle Kommentare lesen unter igor´sLAB Community →