Die Google-Variable

Drive-by Downloads haben sich im Laufe des Jahres 2008 mehr und mehr verbreitet. Da sich Webmaster immer mehr der wachsenden Sicherheitsprobleme bewusst werden, sind Cyber-Kriminelle ständig auf der Suche nach neuen Techniken, um sicherzustellen, dass ihre Schadprogramme so lang wie möglich überleben.

Und was wäre einfacher, als Google dafür zu nutzen? Heutzutage nutzt jeder Google – warum also sollte es ausgerechnet bei Virenschreibern anders sein? In letzter Zeit haben wir zunehmend Attacken registriert, die nach dem folgenden Muster arbeiten.

Die Schadprogrammschreiber starten zunächst eine Google-Suche, um beliebte Webseiten zu identifizieren. Die beliebtesten Seiten, die sich aus der Suche ergeben, werden dann einem Penetrationstest unterzogen, um Schwachstellen zu ermitteln. Die anfälligsten Webseiten werden dann kompromittiert, und um ihre Spuren zu verwischen, fügen die Schadprogrammschreiber den kompromittierten Seiten dann keinen Code in Form von neuen Dateien, ja nicht einmal verschleierten Code hinzu. Stattdessen modifizieren Sie einfach Skripts, die bereits auf den kompromittierten Seiten ausgeführt werden. In diesem Fall, enthalten die neuen Parameter, die dem bestehenden Skript hinzugefügt werden, die folgende Funktion: (–referer=http://www.google.com/).

Diese Funktion prüft, woher der Besucher der infizierten Seite gekommen ist. Wenn die Verbindung über einen Link in einer Google-Suche zustande kam, wird der Besucher automatisch zu einer Reihe von infizierten Webseiten weitergeleitet, die nichts mit der ursprünglichen Seite zu tun haben. Das Ergebnis: ein infizierter Computer.

Interessanterweise erfolgt die Weiterleitung nicht, wenn man den Namen einer infizierten Webseite ganz einfach eingibt. Dann wird keine der infizierten Skriptfunktionen ausgeführt und es wird ganz einfach die gewünschte Seite angezeigt. Dies dient dazu keinen Verdacht bei Webmastern, Angestellten und regelmäßigen Besuchern der Seite aufkommen zu lassen und trotzdem das Ziel der Cyber-Kriminellen zu erreichen:

  • nämlich möglichst viele Nutzer zu infizieren
  • und das schädliche Skript vor dem Webmaster zu verstecken, um eine längere Lebensdauer der Schadsoftware zu sichern.

Diese Art von Attacke schadet also nicht nur den Nutzern, sondern kann auch dazu führen, dass harmlose Webseiten von Security-Produkten auf die schwarze Liste gesetzt werden.

Es sind übrigens nicht nur Webseiten, die zur Erzielung guter Suchrankings optimiert wurden, die verwendet werden – die Cyber-Kriminellen zielen sogar speziell auf einige Security-Seiten ab. Beispielsweise waren besonders gefälschte Antivirus-Lösungen wie Antivirus XP im Gespräch. Wenn Sie Google verwenden, um Informationen zu diesem Thema zu suchen, bringen die Suchergebnisse viele verschiedene Seiten – das Problem dabei ist, dass wenn Sie auf eine Seite aus der Google-Ergebnisliste klicken, führt das modifizierte Skript auf dem gehackten Security-Server Antivirus 2010 auf Ihrem Computer aus.

Die Kompromittierung von Webseiten, die für Suchmaschinen optimiert wurden und dadurch die Infizierung von Nutzern über eine Reihe von bösartigen Umleitungen wird 2009 mit Sicherheit ein beliebtes Mittel für Attacken sein und wird den Webmastern so einiges Kopfzerbrechen bereiten.

Das zeigt wieder einmal, dass nichts im Internet so sicher ist, wie es scheint. Und um das gleich klarzustellen, nicht nur Google ist betroffen! Ich habe das Attacken-Szenario auch mit Yahoo! und MSN durchgespielt und das Ergebnis war dasselbe. Wir haben die Schadsoftware im oben erläuterten Beispiel als Trojan-Downloader.Win32.Fraudload.vffa identifiziert und wir werden sicher noch verschiedenste Varianten davon zu Gesicht bekommen. Halten Sie also Ihre Antivirus-Software auf dem neusten Stand!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.