Behälterfälschung

Sicher kennen Sie das: Wenn Sie auf der Google-Suchseite nach einem Stichwort suchen, werden rechts auf der Seite die sogenannten “Google Adwords” – kontextbasierte Textanzeigen – passend zum Thema angezeigt.

Bislang legte Google dafür bestimmte Mindestvoraussetzungen fest, damit die Seriosität des Dienstes unter allen Umständen gewährleistet blieb.

Wie kann es nun aber sein, dass dort plötzlich Werbung für Porno-Angebote und Glücksspiele auftaucht?
Die Antwort auf diese pikante Frage ist ein neues Computervirus, das es schafft, die echten Google-Suchergebnisse im Browser des Benutzers derart zu manipulieren, dass dort plötzliche gefälschte Werbeanzeigen (die natürlich auf echte, aber unerlaubte Angebot verweisen) platziert werden.

Dies ist ein in mehrfacher Hinsicht äußerst subversives Vorgehen.
Zum einen wird hier der Benutzer im vertrauten und vermeintlich seriösen Umfeld der Suchmaschine arglistig getäuscht.
Zum anderen gehen die Anbieter von Werbeplatz im Partner-Netzwerk von Google leer aus, da natürlich die gefälschten Anzeigen nicht über das Google-System mit Provisionen für die Website-Betreiber verknüpft sind.
Und zu guter letzt leidet natürlich das Image von Google selbst unter dem Eindruck der hier eingeschmuggelten Schmuddelinhalte.

Ein anschauliches Beispiel dafür, wie durchschlagend der “Erfolg” einer Behälterfälschung im passenden Umfeld ausfallen kann!

Auch eine Art bezahlte Treffer kostengünstiger an den Verbraucher zu bringen: ein Wurm, der die Google-Startseite genau imitiert. Nur die Adwords sind eben gefälscht.

P2Load.A heißt der Wurm und Verursacher einer Attacke auf die Gutgläubigkeit der Nutzer von Google. Entdeckt hat diesen Schädling nach eigenen Angaben das Forschungslabor von Panda Software, die PandaLabs. P2Load.A verbreite sich via P2P-Netzwerk Shareaza und Imesh und stelle dort seinen Code unter dem Titel ‚Knights of the Old Republic 2’ ein, was die User glauben machen soll, sie würden sich ein Spiel der Star-Wars-Saga herunterladen. Wird der Wurm ausgeführt, zeigt er eine Fehlermeldung auf dem Bildschirm an, die den User informiert, dass die Datei nicht existiert und wo er sie herunterladen kann. Passiert das, ist der Rechner infiziert und zwei Hauptveränderungen werden dann durchgeführt. Zum einen wird die Startseite des Browsers verändert und zeigt Werbung an. Zum anderen wird es dem Nutzer unmöglich gemacht, die Original-Seite der Suchmaschine Google zu erreichen.

Um dies durchzuführen verändert der Wurm die Host-Datei auf dem Rechner so, dass der User beim Versuch Google zu erreichen direkt auf eine exakt gefälschte Google-Seite geleitet wird. Die Kopie stelle ebenfalls die 17 Sprachen von Google zur Verfügung und leite den User auch bei einer falschen Eingabe im Browser auf die falsche Seite um, so dass der User keine Chance habe auf die echte Seite zu gelangen, heißt es in der Mitteilung von Panda Software. Bei einer Suchabfrage des Users erschienen die Suchergebnisse korrekt oder mit leichten Abweichungen zur echten Google-Seite. Die bezahlten Treffer allerdings am oberen Rand werden auf der gefälschten Seite durch andere Unternehmen ersetzt. Der Sinn und Zweck des Wurms, so vermutet Panda Software, sei es vermehrt Traffic auf den gesponsorten Seiten zu generieren, die teuer an Firmen verkauft worden seien. Der Wurm sei sogar in der Lage jede andere bekannte Webseite durch Ändern des Inhalts ebenfalls zu fälschen.

Das US-Unternehmen Trend Micro hat eine gefälschte Webseite entdeckt, die der originalen Yahoo-Seite zum Verwechseln ähnlich sieht, es jedoch auf den Diebstahl von vertraulichen Daten abgesehen hat. Auf der Seite werden kostenlose Computerspiele angeboten und die Besucher aufgefordert, sich mit ihrem Yahoo-Kennwort und -Passwort einzuloggen.

Einmal angemeldet, zeigt die Seite folgende Warnung an: “Pagina Hackeada – Cuidado!” Übersetzt aus dem spanischen heißt das soviel wie ‘Vorsicht, gehackte Seite’. Um die Anwender auf die Site zu locken, nutzen die Betrüger nach Angaben von Trend Micro Spam, der über den IM-Dienst (Instant Messenger) von Yahoo versendet wird.

“In erster Linie handelt es sich dabei um einen ‘Honeypot’, mit dem versucht wird, die Nutzer anzulocken, um sich für Online-Spiele anzumelden”, sagte Trend-Micro-Experte Adam Biviano gegenüber silicon.com. Die IM-Nachrichten könnten über einen Virus oder andere Malware generiert werden. Es werde immer üblicher, dass sich Viren über IM verbreiten, so Biviano.

Der einzige Zweck der Seite sei ID-Diebstahl. Es gehe nicht darum Kreditkarteninformation oder Geld von einem Bankkonto zu stehlen, es gehe ausschließlich um private Details. “Das zeigt, in welche Richtung die nächsten großen Bedrohungen gehen.”

Über einen Fall von potentiell tödlicher Behälter-Verwechslung wird derzeit in den Medien berichtet:

Gestern gab die WHO bekannt, dass im Auftrag vom College of American Pathologists (CAP) Proben des Grippevirus A/H2N2 an über 5.000 Labors vor allem in den USA, aber auch an 61 Labors in 18 weiteren Ländern (darunter Deutschland) und 14 in Kanada, zum Testen für eine Routine-Überprüfung der Lizenz verschickt wurden. Erst am 26 März ist die WHO von der kanadischen Gesundheitsbehörde PHAC darauf aufmerksam gemacht worden, dass solche Proben verschickt wurden. Es handelt sich um den Virus, der 1957 zu Beginn der Asiatischen Pandemie bei Menschen festgestellt wurde und zwischen einer und vier Millionen Menschen tötete. Bis 1968 löste er jährlich Epidemien aus. Die WHO warnt vor einer möglichen Epidemie und dringt darauf, dass alle Proben umgehend vernichtet werden.

[...]

Nach Angaben des CAP war die Firma Meridian Bioscience, Ohio, beauftragt worden, die Proben zu versenden. Sie sollte eine Influenza-A-Probe nehmen und jemand hat aus dem Lager den tödlichen H2N2-Stamm von 1957 ausgewählt, der aber als harmlos bezeichnet worden war. Nun wird die Verantwortung für die Schlamperei oder für die gezielt begangene Tat zwischen CAP und Meridian hin und her geschoben. Bei den CDC will man nun die Maßnahme einführen, dass eine Benachrichtigung beim Verschicken von Pathogenen eingereicht werden muss. Falls diese aber wieder falsch ausgezeichnet würden, wie im jetzigen Fall, würde es wohl auch dann nicht weiter auffallen, wenn gefährliche Krankheitserreger verschickt werden.

[...]

Trojaner maskiert sich als Nachrichten-Newsletter

Das Ding ist topaktuell, verbreitet die heißesten Schlagzeilen und kommt perfekt gestylt als Newsletter des US-Nachrichtensenders CNN daher – und doch ist es nichts als ein Trojaner. “Crowt-A” habe es auf vertrauliche Daten abgesehen, warnt das IT-Sicherheitsunternehmen Sophos.

[...]

Bei jedem Versand holt sich das Virus frische Schlagzeilen von der CNN-Webseite ab, montiert sie zu einem aktuellen Newsletter und verschickt ihn mit einer entsprechend aktuellen Betreffzeile. Eine völlig neue, potenziell durchaus gefährliche Masche, findet Carole Theriault von Sophos: “Virenschreiber suchen ständig nach neuen Tricks, um arglose Computernutzer dazu zu bringen, ihre Schadprogramme auszuführen.” “Crowt-A” nutze da geschickt den weit verbreiteten Hunger nach Nachrichten.

Das Virus selbst ist kein Killer, auch nicht sonderlich weit verbreitet – aber es ist eine Art Prototyp: Mit ähnlichen Attacken wird man in Zukunft wohl öfter rechnen müssen.

“Crowt-A” hinterlegt auf betroffenen Rechnern ein Trojaner-Programm, das über den so genannten Port 80, über den der Datenaustausch zwischen Rechner und Internet läuft, Kontakt zu einem Webserver hält und auf weitere Befehle wartet. Der Trojaner verfügt über eine Keylogger-Funktion, mit der er Tastatureingaben aufzeichnen kann, um diese an den fremden Server weiterzumelden. So könnte “Crowt-A” beispielsweise PIN-Nummern und Passworte “abfischen”.

[...]

Seit dem heutigen Mittwochmorgen sind wieder gefälschte Telekom-Mails unterwegs, die vorgeben, die aktuelle Telefonrechung zu enthalten. Im Anhang der Mail findet der Empfänger diesmal keinen Link, sondern beispielsweise die Datei Rechnung18745514.chm. CHMs sind Hilfe-Dateien in einem komprimiertem HTML-Format und werden vom Internet Explorer ausgeführt. Einmal lokal gestartet, haben sie volle Zugriffsrechte, wenn der Anwender als Administrator angemeldet ist.

Ein Klick auf die vermeintliche Rechnung installiert nach ersten Erkenntnissen einen Trojaner, der weitere Dateien nachlädt. Derzeit stufen ihn nur Bitdefender (AV-Killer) und NOD32 (NewHeur_PE) als möglichen Schädling ein. Anwender, die solch eine Mail erhalten haben, sollten auf gar keinen Fall den Anhang öffnen oder speichern. Wann die Hersteller von Antivirensoftware neue Signaturen veröffentlichen, ist noch nicht klar. Auch ist noch nicht abzusehen, wie stark sich der Trojaner verbreitet. Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sich auf den Antiviren-Seiten von heise Security.

Um beim Online-Kauf das Vertrauen des Käufers zu unterstützen gibt es sogenannte Treuhand-Services, die das Geld verwahren, bis die Ware vom Verkäufer geliefert wurde. So soll vermieden werden, dass der Verkäufer das Geld einsackt und keine Ware liefert.

Nachdem bereits Berichte über gefälschte Treuhand-Services aufgetaucht sind, macht nun ein besonders perfider Trick Schlagzeilen. Zusammen mit dem Foto eines Gebrauchtwagens wird den Interessenten ein Virus untergeschummelt, der die Domain-Einträge von seriösen Treuhand-Services auf dem PC des Käufers manipuliert. So gelingt es den betrügerischen Verkäufern, einen gefälschten Treuhand-Service unterzuschummeln, ohne das der Käufer Verdacht schöpft.