Maliziöse Werbung über ICQ

In den vergangenen Tagen erreichten uns zahlreiche Berichte über Computer, die mit gefälschter Antiviren-Software (Scareware) infiziert worden waren. In diesem speziellen Fall lautet der Name des Übeltäters „Antivirus 8“.

Interessant hieran ist, dass die User Browser-Popups eines gefälschten Antiviren-Programms erhielten, während sie ihren Rechner gar nicht aktiv nutzten. Bei unseren Nachforschungen stellten wir fest, dass diese Popups immer genau dann auftauchen, wenn das Instant Messaging-Programm ICQ neue Ads aufruft/anzeigt.

Ich installierte ICQ auf meinem Rechner und nach einigen Minuten, in denen ich das Programm laufen lief, um neue Ads aufzurufen, konnte ich folgendes beobachten:

Diese Seite wird auf [snip]charlotterusse.eu gehostet.

Geht man den angefügten iframe entlang, sieht es doch nicht wirklich so aus, als wäre der Adserver dieses Shops gehackt worden, oder? Nach ein paar Recherchen fand ich heraus, dass keiner dieser Server – mit Ausnahme von charlotterusse.com – tatsächlich mit dieser Modemarke in Verbindung steht.

Da hat sich also jemand die Mühe gemacht, sich als diesen Shop auszugeben. Zweck dieser Übung ist, sicherzustellen, dass der Anzeigenverteiler die Kampagne auch wirklich startet, denn diese sind allzu oft den Annäherungsversuchen von Betrügern ausgesetzt.

Besonders interessant in diesem Fall ist jedoch, dass die bösen Jungs es so aussehen haben lassen, als sei ihr Server gehackt worden. Dank ihres scheinbar kompromittierten Servers können die Betrüger jede Verantwortung für die Verteilung des Schädlings von sich weisen. Verantwortlich ist jemand anders, der ihren Server zwecks Verbreitung maliziöser Programme gehackt hat. Der Anzeigenverteiler wird es sehr wahrscheinlich bei einer Warnung belassen, wodurch die Betrüger die Chance haben, mindestens noch einen weiteren Versuch zur Infizierung weiterer Computern zu starten.

Wieder einmal Beispiel dafür, auf welche Weise vertrauenswürdige Programme für einen Angriff auf Computer missbraucht werden können. Das Beispiel illustriert, dass ein wirksamer Antivirenschutz unter allen Umständen erforderlich ist.

Wir haben eine Nachricht an Yieldmanager, den in diesem Fall zuständigen Anzeigenverteiler, geschickt. Zum Zeitpunkt der Redaktion dieses Artikels haben wird keine Antwort erhalten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.