Trittbrettfahrer
Scareware nutzt Hype um Project Natal
Online-Kriminelle nutzen mal wieder aktuelle Themen, um Kasse zu machen. Sie locken mit präparierten Seiten, die in den Suchmaschinen ganz vorne stehen. Wer diese Seiten aufruft, dem wird Scareware aufgenötigt.
Zu den bewährten Methoden der Online-Kriminalität gehört die Suchmaschinenoptimierung, gerne als "Black SEO" tituliert. Die Täter präparieren Web-Seiten mit aktuellen Top-Themen, so etwa Air France oder Microsofts neues Projekt Natal für die Xbox 360. Sie werden so optimiert, dass sie in den Trefferlisten der Suchmaschinen ganz vorne landen. Wer die Seiten aufruft, wird zu einer Website umgeleitet, die ein betrügerisches Antivirusprogramm ("Scareware") unters Volk bringen soll.
Wie Sean-Paul Correll im Blog der PandaLabs berichtet, zielen die Scareware-Spammer derzeit vor allem auf Themen der Spielemesse E3 sowie auf Meldungen zum über dem Atlantik verunglückten Passagierflugzeug der Air France. Untersuchungen des spanischen Antivirusherstellers haben ergeben, dass die Täter etwa 16.000 Seiten erstellt haben, die auf den Suchbegriff "Youtube" optimiert sind. Weitere 10.500 zielen auf "France", knapp 9000 auf "Microsoft" (Projekt Natal), über 3000 auf "E3" sowie jeweils knapp 3000 auf "Eminem" (MTV Awards) und "Sony" (neuer Game-Controller für PS3).
Bei einer Google-Suchanfrage nach "natal youtube" sind gleich die ersten beiden Treffer sowie mehrere weitere unter den ersten 20 solche Spammer-Seiten. Alle sind bei einem Gratis-Hoster eingerichtet und dienen als so genannte "Landing-pages". Sie leiten Besucher auf eine Scareware-Website um, sofern im Browser Javascript aktiviert ist. Andernfalls wird eine harmlos erscheinende Seite angezeigt.
Auf dieser Seite wird ein Windows Sicherheitscenter imitiert und ein vorgetäuschter Scan des Rechners abgespielt. Warnmeldungen vorgeblich gefundener Schädlnge sollen den Besucher zum Download eines betrügerischen Sicherheitsprogramms nötigen. Der Download startet bereits, wenn man irgendwo auf die Seite klickt. Es wird eine etwa 140 KB große Datei "Install_2022.exe" herunter geladen, die Scareware installiert, wenn sie ausgeführt wird.
Das Installationsprogramm wurde heute Morgen noch von keinem Virenscanner erkannt. Inzwischen hat sich die Erkennung zwar etwas verbessert, ist jedoch noch immer recht dürftig.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/BurnInHell.D |
| Authentium | --- |
| Avast | --- |
| AVG | --- |
| Bitdefender | --- |
| CA-AV | --- |
| ClamAV | --- |
| Dr Web | --- |
| Eset Nod32 | --- |
| Fortinet | --- |
| F-Prot | --- |
| F-Secure 2009 | --- |
| F-Secure 2010 * | --- |
| G-Data AVK 2008 | Trojan.Win32.FraudPack.onq |
| G-Data AVK 2009 | --- |
| Ikarus | --- |
| ISS VPS | --- |
| K7 Computing | --- |
| Kaspersky | Trojan.Win32.FraudPack.onq |
| McAfee | --- (FakeAlert-DI)** |
| McAfee Artemis | --- |
| McAfee GW Edition | Trojan.BurnInHell.D |
| Microsoft | Trojan:Win32/FakeXPA |
| Norman | --- |
| Panda | --- |
| Panda (Online) | --- |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | --- |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | --- |
| Trend Micro | TROJ_FAKEAV.BIM |
| VBA32 | --- |
| VirusBuster | --- |
Quelle: AV-Test, Stand: 04.06.2009, 14:00 Uhr
* Bitdefender- statt Kaspersky-Engine
** noch nicht in offiziellen Virensignaturen enthalten
