189006

Werbe-Wurm imitiert Google

19.09.2005 | 12:30 Uhr |

Ein Wurm mit Adware-Funktionen leitet Suchanfragen auf eine andere Website um.

Der Antivirus-Hersteller Panda Software meldet die Entdeckung eines P2P-Wurms, der Adware-Funktionen enthält. "P2Load.A" verbreitet sich über die Peer-to-Peer-Netze (P2P) "Shareaza" und "Imesh". Er überschreibt die Hosts-Datei und leitet so Suchanfragen um.

P2Load.A verbreitet sich in den P2P-Netzen als Spiel aus der Star-Wars-Saga mit dem Titel "Knights of the Old Republic 2". Die geringe Dateigröße von 45 Kilobytes sollte potenzielle Opfer stutzig machen. Wird die Datei ausgeführt, zeigt sie eine Fehlermeldung an. Diese besagt in fehlerhaftem Englisch, dass eine Datei namens "vb2.dll" veraltet sei und eine neuere Dateiversion geladen werden müsse.

Der Wurm legt eine Kopie von sich als "winlogin.exe" im System-Verzeichnis von Windows ab. Diese Datei trägt er in die Registry ein, damit sie beim Start von Windows automatisch geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winlogin = %sysdir%\winlogin.exe

Ferner ändert der Wurm die Registry-Einträge des Internet Explorers, in denen die Start- und Suchseiten festgelegt sind. Die Startseite des Internet Explorers zeigt nun Werbung an. Ferner lädt er eine Datei aus dem Internet herunter und überschreibt damit die vorhandene Datei "HOSTS". Diese enthält Zuordnungen von Web-Adressen zu IP-Adressen. So manipuliert der Wurm das Ziel von Suchanfragen, die eigentlich für Google bestimmt sind. Er leitet sie auf eine andere Website um, die mehr oder weniger die gleichen Suchergebnisse liefert, jedoch andere "Sponsored Links" (Werbe-Links) zur Verfügung stellt.

Die Suchseite ist eine nahezu perfekte Kopie von Google, einschließlich der Unterstützung mehrerer Sprachen. Auch Vertipper wie "wwwgoogle.com" oder www.gogle.com" werden erfasst und umgeleitet. Mit der manipulierten HOSTS-Datei könnte der Wurm P2load.A auch Anfragen an jede beliebige andere Website umleiten. Zweck des Wurms ist wohl Geld durch den Verkauf der Werbeanzeigen auf dem manipulierten Suchportal zu verdienen.

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
189006