Antivirus System PRO
Scareware leitet Web-Aufrufe um
Betrügerische Antivirusprogramme werden immer aggressiver. Ein Vertreter dieser Schädlingsgattung leitet neben der Anzeige falscher Virenmeldungen auch Aufrufe von Microsoft-Seiten auf Web-Server der Online-Kriminellen um.
Besonders bei der Suche nach Neuigkeiten über Prominente in Suchmaschinen werden Internet-Nutzer oft auf speziell präparierte Web-Seiten umgeleitet, die so genannte "Scareware" verbreiten. Vorgetäuschte Warnmeldungen vor einem vorgeblich verseuchten Rechner sollen betrügerische Antivirusprogramme unters Volk bringen. So etwa "Antivirus System PRO", das zudem den Versuch abfängt Web-Seiten von Microsoft aufzurufen.
Wie Mike Wood im Blog des Antivirusherstellers Sophos berichtet, werden betrügerische Antivirusprogramme ("Fake-AV") immer aggressiver. Geraten Internet-Nutzer auf eine Web-Seite, die solche Scareware verbreitet, werden sie mit verwirrenden Ja/Nein-Dialogen zum Download der Schadprogramme genötigt. Ist der Schädling einmal installiert, nervt er mit falschen Virenbefunden, damit das Opfer die teure Vollversion des Programms kauft.
Zudem installiert "Antivirus System PRO" ein lokalen Proxy-Dienst auf dem TCP-Port 5555 und leitet alle Aufrufe von Microsoft-Seiten auf einen Web-Server der Online-Kriminellen um. Im Browser erscheint die Web-Adresse von Microsoft, denn der Proxy hängt zwischen Browser und Web, sodass er die volle Kontrolle über die angezeigten Web-Seiten hat.
Der Schädling könnte auch beliebige andere Web-Seiten auf diese Weise umleiten, etwa die von Online-Diensten, Antivirusherstellern oder Banken. Das unterstreicht einmal mehr, dass man auf einem kompromittierten Rechner nichts mehr als vertrauenswürdig ansehen kann.
