159494

Scareware manipuliert Browser-Kennung

19.05.2009 | 16:14 Uhr |

Betrügerische Antivirusprogramme verändern die Kennung, mit der ein Browser gegenüber einem Web-Server angibt, um welches Programm es sich handelt. So posaunt der Browser die Verseuchung in die Welt hinaus.

So genannte Scareware, betrügerische Antivirusprogramme, bereitet Anwendern ohnehin schon genug Ärger. Wie der finnische Antivirushersteller F-Secure meldet, manipulieren zumindest einige dieser Programme auch die Browser-Kennung. Welchen Zweck das tatsächlich hat, ist nicht gesichert. Es gibt einige Möglichkeiten, von der Erfolgskontrolle für die Geschäftemacher bis zu gezieltem Anbieten anderer Web-Inhalte.

Die Malware-Forsche von F-Secure berichten im Blog des Unternehmens über Scareware wie "Antivir XP 2008" oder "Antimalware 2009", die den so genannten User-Agent-String des Browsers manipulieren, indem sie sich selbst darin eintragen. Diese Zeichenkette identifiziert den verwendeten Browser gegenüber einem besuchten Web-Server. So kann der Web-Server bei Bedarf unterschiedlich aufbereitete Inhalte bereit stellen, die eine optimale Darstellung im verwendeten Browser bieten.

Eine übliche Kennung eines Browser enthält Angaben über die Browser-Version, das Betriebssystem und zum Teil auch über die Sprache. So lautet die Kennung eines deutschen Firefox 3.0.10 auf einem XP-Rechner etwa "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10", für den Internet Explorer 7 kann sie so aussehen: "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)".

Einige Scareware-Programme fügen eine eigene Kennung ein, das Ergebnis kann dann zum Beispiel "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; AntivirXP08)" lauten. F-Secure hat mehrere hundert Variationen derart manipulierter Browser-Kennungen gefunden. In den Zugriffsprotokollen eines einzelnen Web-Servers für den Monat April haben die Forscher 63.000 verschiedene IP-Adressen gefunden, deren Browser-Kennung Varianten von "AntivirXP08" enthalten. Außerdem haben sie noch weiteren Kennungen entdeckt, etwa "Antimalware2009".

Durch eine geeignete Wahl der manipulierten Browser-Kennung könnten Online-Kriminelle die Rechner einem jeweiligen Vertriebspartner (Affiliate) zuordnen und so ihr Geschäftsmodell verfeinern. Außerdem können die Websites, die Besuchern die Scareware aufnötigen, solchen Anwendern andere Angebote machen. Wer die Scareware bereits installiert hat, dem muss man sie nicht noch einmal anbieten. Man kann ihn jedoch dazu drängen, endlich die Vollversion zu kaufen. Die kriminellen Geschäftemacher könnten einen solchen Besucher auch auf die Verseuchung hinweisen und ihm als vorgebliches Gegenmittel eine weitere Scareware aufdrängen.

Eine nützliche Verwendung könnte darin bestehen, dass Internet-Provider ihre Kunden darauf hinweisen, dass sie schädliche Programme auf dem Rechner haben und sie über mögliche, reelle Gegenmaßnahmen informieren. Das geschieht jedoch derzeit nicht.

0 Kommentare zu diesem Artikel
159494