170322

Werbebanner bei Myspace.com mit Malware verseucht

21.07.2006 | 12:36 Uhr |

Anwender, die in letzter Zeit Myspace.com besucht haben, könnten sich ein Trojanisches Pferd eingehandelt haben, das sich hinter einem Werbebanner verbarg.

Eine Warnung der Sicherheitsexperten von Idefense zeigt wieder einmal, wie wichtig es ist, seine Software mit Sicherheits-Patches auf dem aktuellen Stand zu halten: Die Experten gehen davon aus, dass sich mehr als eine Million Nutzer von Myspace.com und anderen Web-Seiten ein Trojanisches Pferd eingehandelt haben könnten, das eine seit Dezember 2005 bekannte Sicherheitslücke im Internet Explorer ausnutzt. Im Fall von Myspace.com verbarg sich die Malware hinter einem Werbebanner für die Site deckoutyourdeck.com, das in Nutzerprofilen der Online-Community angezeigt wurde.

Die Malware macht sich dabei eine Lücke im Internet Explorer bei der Verarbeitung von Windows Metafile (WMF) Bilddateien zunutze. Microsoft hat im Januar einen Patch für diese Lücke bereitgestellt ( wir berichteten ). Die Sicherheitslücke ist extrem gefährlich, da bereits das Aufrufen einer Site, die diese Lücke ausnutzt, zu einer Infektion führt. Im Falle von Myspace.com genügte es also schon, lediglich das Banner angezeigt zu bekommen, um ihren Rechner zu infizieren. Anwender, deren System auf dem aktuellen Stand war, bekamen eine Meldung angezeigt, nach der sie die Datei "exp.wmf" herunterladen sollten. Nach Angaben von Idefense gibt es derzeit mindestens 600 Seiten, die die WMF-Lücke ausnutzen wollen.

Nach einer erfolgreichen Infektion kontaktiert das Trojanische Pferd verschiedene Websites und lädt weitere Programme herunter. Darunter Werbe-Software von Purityscan. Diese hat unerwünschte Werbe-Pop-ups zur Folge und protokolliert das Nutzerverhalten.

Myspace.com ist über das Banner informiert, allerdings ist bislang nicht klar, ob die Werbeform bereits deaktiviert wurde und wie lange sie schon auf den Myspace-Seiten lief. Laut Idefense könnte das Banner bereits seit Wochen aktiv gewesen sein.

Für die Urheber solcher Banner ist das Ganze wohl ein einträgliches Geschäft, denn Adware-Anbieter bezahlen basierend auf der Anzahl der mit derartiger Software infizierten Rechner. Wird eine solche Software ohne Wissen und vor allem ohne Zutun des Anwenders auf ihre Rechner gespielt, steigern sich die Einnahmen deutlich.

Idefense konnte die Infektionen durch das deckoutyourdeck.com-Banner über einen Server schätzen, der die Adware bereitstellt. Laut Zählerstand des Servers in der Türkei wurde die Adware bereits 1,07 Millionen Mal herunter geladen.

0 Kommentare zu diesem Artikel
170322