119298

Adware-Verbreitung nach Domain-Verlust

03.08.2006 | 08:48 Uhr |

Kurz nachdem ein bekanntes Sicherheitsprojekt eine seiner Domains verloren hat, wird bereits Adware über diese Adresse verbreitet.

Das Projekt Bleeding Snort sammelt und veröffentlicht Signaturen für das Open-Source-IDS (Intrusion Detection System) "Snort". Zum Projekt gehörte bis Ende Juni auch die Domain "bleedingsnort.org". Durch einen Fehler, wie er anscheinend häufiger mal passiert, wurde die Registrierung der Domain nicht rechtzeitig verlängert, das Projekt verlor diese Domain und jemand anderes registrierte sie rasch für sich. Der hatte offenbar nichts Eiligeres zu tun als sie sogleich mit Adware zu bestücken und zum Verkauf anzubieten.

Die Domain bleedingsnort.org ist zurzeit auf eine Person mit angeblichem Wohnsitz in Äquatorial-Guinea registriert - mutmasslich ein Strohmann, falls die Person überhaupt existiert und von ihrem neuen Besitz etwas weiss. Der Web-Server dazu scheint hingegen in Potsdam zu stehen.

Wer die ehemalige Website von Bleeding Snort aufruft, wird sogleich zum Domain-Parkplatz des Domain-Händlers Sedo weitergeleitet. Ist im Browser allerdings Javascript eingeschaltet und kein Pop-up-Blocker aktiv, wird dem Besucher vorher noch eine Datei namens "update.exe" zum Download aufgedrängt, ein selbstentpackendes CAB-Archiv.

Nach den weitgehend übereinstimmenden Meinungen der wenigen Virenscanner, die diese Datei und ihren Inhalt erkennen, installiert sie Adware auf dem PC. Die vergebenen Namen variieren meist die Bestandteile "Adware" und "LoopAd", nur bei AntiVir und Webwasher heißt es "Remotewatch". Dabei handelt es sich um ein Programm, das im Hintergrund Informationen über das Web-Verhalten des Anwenders sammelt und an Werbe-Server sendet, die den Anwender dann mit vermeintlich passenden Werbebannern beglückt.

Die Adware Remotewatch scheint zum Standard-Repertoire von Domain-Grabbern und Typo-Squattern zu gehören. Erst im Mai berichtete der Software-Hersteller G Data aus Bochum, dass eine solche Person die Domain "g-data-security.de" registriert und die Adware Remotewatch (als "witzedatenbank.exe") darüber verbreitet hätte. Die Domain gehört heute G Data. Die beiden Programmdateien werden allem Anschein nach stets von demselben US-Server bezogen, auf dem sie auch heute noch zu finden sind.

0 Kommentare zu diesem Artikel
119298