214638

Scareware wird über gehackte Web-Server verbreitet

02.10.2009 | 15:22 Uhr |

Eine derzeit noch anwachsende Zahl von gehackten Web-Foren ist mit Script-Code präpariert, der zum Download von Malware führt. Auf ein Botnet verteilte Web-Server liefern in einem weiteren Schritt betrügerische Sicherheits-Software aus.

Betrügerische Antivirusprogramme, so genannte Scareware, sind derzeit offenbar die beliebteste Möglichkeit für Online-Kriminelle zu Geld zu kommen. Sie manipulieren Ergebnisse von Suchmaschinen, um neue Opfer mit aktuellen Themen auf präparierte Seiten zu locken. Sie hacken auch Web-Server, um in vorhandene Seiten Script-Code einzuschleusen, der beim Laden der Seiten den Download von Scareware anstößt.

Der Antivirushersteller Avira aus Tettnang meldet in seinem Blog die Entdeckung einer neuen Welle solcher Server-Hacks. Betroffen ist eine noch wachsende Zahl von Web-Foren, die mit eingeschleustem Javascript-Code präpariert werden. Derzeit sind bereits mehr als 100 Foren-Server in dieser Weise verseucht, ein weiteres Script dieser Art ist schon auf mehr als 16.000 Web-Servern zu finden. Der Script-Code ist in mehreren Stufen verschlüsselt und verschleiert.

Das Script leitet Aufrufe über einen russischen Server zu einem Netzwerk von Web-Servern, die auf Rechnern eines Botnets laufen. Sie sind in einem so genannten Fast-Flux-Netzwerk organisiert, sodass die Aufrufe alle paar Minuten zu einem anderen Rechner führen. Es brächte also wenig einen der Web-Server dicht zu machen - es gibt reichlich Reserve.

Die Malware, die auf diese Weise verbreitete wird, ist ein Trojanisches Pferd, von Avira als "TR/FraudPack.ams" bezeichnet. Es lädt weitere Malware aus einem zweiten Botnet. Erst dabei handelt es sich um Scareware mit plakativen Namen wie "AntivirusPro 2010" und anderen. Avira nennt sie "TR/FakeAV.RK" und blockiert sie.

Scareware macht durch penetrante Warnmeldungen über vorgeblich auf dem Rechner gefundene Schädlinge auf sich aufmerksam. Sie nötigt die Benutzer zum Kauf einer ebenso teuren wie nutzlosen Vollversion des vorgeblichen Schutzprogramms.

0 Kommentare zu diesem Artikel
214638