Sonderbare Vermarktung von FakeAv

Die mit schädlichen Unterdomains durchsetzten Domains .co.cc, die in den letzten Monaten Exploit-Pages und schädliche Java Applets hosteten, beherbergen nun Seiten mit FakeAv sowie „BestAntivirus2011.exe”.

Während das Auftauchen von FakeAv auf .co.cc für die Sicherheitsexperten im Prinzip keine große Überraschung darstellt, stach eine unter den zehntausenden von .co.cc-Subdomains, die in den letzten Tagen von fakeav heimgesucht wurden, doch hervor…“antispyware-macbook(dot)co(dot)cc“. Dieser Marketing-Trick ist wirklich sonderbar, selbst für die Cyberkriminellen. Soll diese Domain andeuten, dass ein weiteres, Apple-basiertes Schadprogramm in Arbeit ist? Mag sein. Doch vorerst bezweifle ich das, denn die Windows-Plattform ist nach wie vor führend, und dieser Malware-Verbreiter scheint sehr hartnäckig Windows zu attackieren. Doch es ist schon höchst sonderbar, dass diese Gruppe “Fast Windows Antivirus 2011” von “Macbook”-Domains vertreibt.
Welche Gruppe auch immer diese Domains benutzt, sie war in jedem Fall sehr gut darin, große Werbenetzwerke dazu zu bewegen, ihre Banner zu hosten, die auf diese.co.cc-Sites umleiten. Was sie sich als nächstes einfallen lassen, kann man nur vermuten. Hier ist eine unvollständige Liste der Begriffe, die in den Subdomains verwendet werden, die aktuell „Bestantivirus2011.exe“ von diesen kostenlosen und ungeheuer günstigen .co.cc Hosting-Domains im Laufe des vergangenen Tages feilboten. Besucht ein Anwender Seiten auf diesen Websites, wird ihm die übliche „Ihr Computer ist infiziert!“-Scareware und der bekannte „Windows Security hat einen Virus auf seinem System gefunden und wird einen Scan der Systemdateien durchführen“-Quatsch angezeigt:

antispyware-companies
antispyware-shqip
antispyware-sw
antispyware-review
antispyware-trends
antispyware-sdk
antispyware-sweep
antispyware-programmer
antispyware-information
antispyware-sdat
antispyware-palsu
antispyware-ansav
antispyware-rogue
antispyware-advanced
antispyware-antivir
antispyware-trend
antispyware-sentry
antispyware-sales
antispyware-troyano
antispyware-seller
antispyware-ranking
antispyware-gpl
antispyware-priority
antispyware-com
antispyware-market
antispyware-telefon
antispyware-keys

Diese Seiten werden aktuell als “Hoax.HTML.Fakeantivirus.y” detektiert, aber die Varianten haben sich innerhalb der letzten paar Monate regelmäßig geändert. Diese Seiten scheinen nichts mit „Lizamoon“ zu tun zu haben (obgleich es Überschneidungen geben könnte), da es Gerüchte gibt, dass dieses Partnerprogramm bereits geschlossen sein soll. Das hier beschriebene FakeAv wird derzeit aktiv verbreitet. Spezialisten werden feststellen, dass die entfallene Komponente den Harry Potter-Verweis „BOMBARDAMAXIMUM“ als cmd-Zeilenargument angepasst hat.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.