174400

Geschäftsmodell Scareware + Zeus

26.03.2010 | 16:18 Uhr |

Ein betrügerisches Antivirusprogramm auf einem Rechner ist oft nur die Spitze eines Eisbergs. Kriminelle Geschäftemacher bündeln solche Scareware mit anderer Malware und zahlen Provisionen für infizierte Rechner.

So genannte Affiliate-Programme sind im Online-Untergrund schon aus der Hochphase der Adware-Verbreitung bekannt. Die kleinen fische in der Untergrundökonomie verdienen sich ein erkleckliches Zubrot durch die Verbreitung von zumindest zweifelhaften Programme und erhalten dafür Provisionen. Dieses Geschäftsmodell wird seit einiger Zeit auch im Bereich Malware und Scareware gepflegt.

Betrügerische Antivirusprogramme - auch als Scareware , Rogue AV oder FakeAV bekannt - verschaffen ihren Anbieter einen Wohlstand, den sie noch zu vermehren trachten. Sie zahlen für die Installation ihrer Machwerke Provisionen an Dritte und packen neben der Scareware auch noch weitere Schädlinge ins Installationspaket. Diese spionieren zum Beispiel persönliche Daten aus, etwa Kreditkartennummern oder Passwörter.

So berichtet der Sicherheitsforscher und Publizist Brian Krebs in seinem Blog über einen Anbieter namens "AVprofit", der seinen Partnern etwa einen US-Dollar pro infiziertem PC zahlt. Mit im Paket ist ein Zeus-Bot (Alias: Zbot) , der Zugangsdaten für das Online-Banking ausspioniert. Die Opfer bekommen hingegen nur die Meldungen der Scareware über vorgeblich auf ihrem PC gefundene Viren zu sehen. Sie sollen 50 bis 100 Dollar für eine Vollversion zahlen, um die diese nicht existierenden Schädlinge zu entfernen.

Nach eigenen Angaben von AVprofit fallen etwa vier Prozent der Besitzer derart verseuchter Rechner auf den Betrug herein und zahlen - für nichts. Sie geben dadurch auch noch ihre Kreditkartendaten preis, denn der Kauf der falschen Antivirus-Software erfolgt online per Kreditkarte.

Die Distributionspartner (Affiliates) von AVprofit verteilen die Installationspakete zum Beispiel über Porno-Seiten oder zusammen mit anderer Software über P2P-Dateitausch-Netze.

0 Kommentare zu diesem Artikel
174400