106134

Spyware-Bande manipuliert Suchmaschinen (Teil 2)

09.03.2007 | 16:12 Uhr |

Nach weiteren Untersuchungen der Aktivitäten der Gromozon-Gang hat sich heraus gestellt, dass Besucher der präparierten Web-Seiten nach IP-Adressen sortiert und mit unterschiedlichen, oft schädlichen Inhalten versorgt werden.

Eine als "Gromozon-Gang" bekannte Gruppe hat sich mit dubiosen Methoden zur Suchmaschinenoptimierung in den Trefferlisten von Microsofts Suchmaschine Live.com breit gemacht ( wir berichteten ). Die Bande betreibt ein kaum durchschaubares Geflecht von Websites unter vielen verschiedenen Domain-Namen, über die sie Malware, Adware und vorgebliche Anti-Spyware verbreitet.

Wer über die Treffer in Live.com auf eine dieser Websites gelangt, wird je nach Herkunft mit anderen Inhalten bedient. Die Server werten die IP-Adresse des Besuchers aus und ordnen sie ihrer geografischen Herkunft zu. Italiener werden auf Seiten umgeleitet, die mit Exploits verschiedener Sicherheitslücken versuchen Malware einzuschleusen. Darunter sind Trojanische Pferde und Rootkits.

Deutsche und womöglich auch einige andere Europäer werden hingegen auf Seiten geleitet, die ihnen mit übertriebenen Sicherheitswarnungen das vorgebliche Anti-Spyware-Programm "ErrorSafe" aufdrängen. Wer hingegen mit einer IP-Adresse aus den USA ankommt, wird auf harmlose Seiten umgelenkt.

Außerdem setzen die Gromozon-Web-Server Cookies und werten diese bei erneutem Besuch aus. Italiener, die zum zweiten Mal auf einer solchen Seite landen, werden ebenfalls mit ErrorSafe konfrontiert. Zudem generieren die Scripte auf den Servern für jeden Besucher individuelle Download-URLs für die einzuschleusende Malware, die nur eine geringe Lebensdauer haben. Dadurch soll die Analyse durch Sicherheitsunternehmen wie Antivirus-Hersteller erschwert werden.

Auch wenn aktuell hauptsächlich Italien Ziel dieser Angriffe ist, kann die Konfiguration der Server-Scripte jederzeit auf ein neues Ziel umgestellt werden. Dann werden vielleicht Deutsche, Spanier oder Franzosen zur Hauptzielscheibe für die Gromozon-Malware. Zum Schutz des eigenen Rechners sollten Sie regelmäßig Sicherheits-Updates für Windows und den verwendeten Web-Browser installieren.

0 Kommentare zu diesem Artikel
106134