155596

Die besten Suchmaschinentreffer sind oft verseucht

08.01.2009 | 16:30 Uhr |

Bei der Verbreitung von Malware spielen Suchmaschinen unfreiwillige eine wichtige Rolle. Die Täter suchen die besten Treffer zu einem Stichwort heraus und manipulieren dann diejenigen Seiten, die schlecht geschützt sind.

Wer zu einem beliebigen Suchbegriff einfach die ersten Treffer in seiner bevorzugten Suchmaschine anklickt, kann seinen Rechner unter Umständen mit Schädlingen verseuchen. Die Verbreitung von Malware erfolgt bereits seit längerer Zeit über legitime Websites, die gehackt und manipuliert werden. Sie enthalten dann schädlichen Script-Code, der Malware auf den Rechner der Besucher schaufelt. Relativ neu ist, dass die Scripte nur Besucher auswählen, die zum Beispiel direkt von Google kommen.

Die Vorgehensweise beschreiben Malware-Forscher von Kaspersky Lab in ihrem Blog : Die Täter suchen sich zunächst zu einem gängigen Stichwort die beliebtesten Seiten heraus, also diejenigen, die in den Suchmaschinen ganz oben stehen. Unter diesen Websites wählen sie dann diejenigen aus, die sich einfach hacken lassen. Sie fügen in die Seiten Script-Code ein, der eine automatische Weiterleitung der Besucher zu Malware-Sites veranlasst. Dabei manipulieren sie nur bereits vorhandene Scripte, um weniger aufzufallen.

Der eingefügte Script-Code enthält eine Auswertungsroutine für den so genannten "Referrer". Das ist eine vom Browser übertragene Information über die Seite, von der ein Besucher über einen Link gekommen ist. Weist dieser Referrer (auch: referer ) auf Google, Live.com, Yahoo oder eine andere bekannte Suchmaschine hin, erfolgt die Umleitung auf die Malware-Site. Andernfalls bekommt der Besucher die normale Website des Domain-Eigners zu sehen.

Wer also eine solche Website aus seinen Lesezeichen heraus aufruft, die Web-Adresse von Hand eintippt oder den Referrer ausfiltert, bekommt die schädliche Website nicht zu sehen. Das soll offenbar die Arbeit von Sicherheitsforschern behindern, die so erstmal nichts finden, was verdächtig wäre.

Wie auch Alex Eckelberry von Sunbelt Software in seinem Blog berichtet, werden die Besucher, die zum Beispiel von Google kommen, zu einer Website umgeleitet, die ihnen eine betrügerische Antivirus-Software wie "Antivirus 2009" aufnötigen will. Nicht nur Google sondern auch die Trefferlisten anderer populärer Suchmaschinen sind betroffen.

Wer sich nicht damit auseinander setzen will, wie man im Browser die Übermittlung des Referrer blockieren kann, sollte die Links auf der Suchmaschinenseite in die Zwischenablage kopieren und dann in die Adresszeile einfügen. In Firefox können Sie den Referrer blocken, indem Sie in der Adresszeile "about:config" eingeben und den Wert der Variablen "network.http.sendRefererHeader" auf "0" setzen. Bequemer und von Fall zu Fall erledigen das zum Beispiel mit der Erweiterung " PrefBar ".

0 Kommentare zu diesem Artikel
155596