Thema: Spyware-Bande manipuliert Suchmaschinen

[SiLæncer]

Eine als Gromozon-Gang berüchtigte Gruppe hat es offenbar mit dubiosen Methoden der Suchmaschinenoptimierung geschafft, sich auf vorderen Plätzen bei Suchmaschinen zu etablieren und verbreitet schädliche Programme.

Die seit einiger Zeit bekannte und berüchtigte "Gromozon-Gang" scheint sich nahezu ungehindert in den Suchergebnissen von Live.com, dem Nachfoger der MSN-Suchmaschine breit machen zu können. Sie haben beliebte Suchbegriffe erkundet, eine Vielzahl von Domains registiert, die Websites miteinander verlinkt und so erfolgreich vordere Plätze bei Live.com erobert. Sie verbreiten auf diesem Weg so genannte "rogue Anti-Spyware" wie "ErrorSafe" - Derivate aus der berüchtigten "WinFixer"-Familie.

Betroffen ist einmal mehr vor allem Italien, aber auch deutsche Internet-Nutzer können in solche Fallen tappen - vielleicht auch, weil man in Teilen Norditaliens (Südtirol) Deutsch spricht. Gibt man bei Microsofts Suchmaschine beliebte italienische Suchbegriffe ein, sind unter den ersten Treffern mehrere Websites, deren URL mit einer Zahl beginnt, zum Beispiel "13.interruppe.com/suchbegriffe".

Wer im Browser Javascript deaktiviert hat, landet auf einer Seite, die wie viele andere dieser Art im Design der italienischen Flagge gestaltet ist. Sie enthält in der linken Spalte Dutzende von Links zu ähnlichen, um nicht zu sagen identischen Web-Seiten und im mittleren Teil Links zu legitimen Websites, die zum Suchbegriff passen.

Die von der Gromozon-Gruppe erstellten Seiten enthalten verschleierten Javascript-Code. Ist Javascript im Browser aktiviert, wird man beim Öffnen einer solchen Website sogleich umgeleitet. Es erscheint ein Javascript-Popup, das in reichlich schrägem Deutsch vor Gefahren für den PC warnt. Dann folgt die Download-Seite von ErrorSafe, die nochmal eindringlich dieses angeblich so nützliche Produkt anpreist und sogleich den Download des Installationsprogramms starten will. Beim Verlassen der Seite oder Schließen des Browser-Fensters folgen weitere aufdringliche Aufforderungen den PC mit ErrorSafe zu scannen.

Während Google mit gewissem Erfolg solche Suchmaschinenmanipulationen bekämpft und seit einiger Zeit zusammen mit Stopbadware.org Warnungen vor dem Aufruf dubioser und potenziell gefährlicher Websites einblendet , scheint Microsoft dieses Problem bei Live.com noch nicht im Griff zu haben.

Quelle : www.pcwelt.de

[SiLæncer]

Nach weiteren Untersuchungen der Aktivitäten der Gromozon-Gang hat sich heraus gestellt, dass Besucher der präparierten Web-Seiten nach IP-Adressen sortiert und mit unterschiedlichen, oft schädlichen Inhalten versorgt werden.

Eine als "Gromozon-Gang" bekannte Gruppe hat sich mit dubiosen Methoden zur Suchmaschinenoptimierung in den Trefferlisten von Microsofts Suchmaschine Live.com breit gemacht. Die Bande betreibt ein kaum durchschaubares Geflecht von Websites unter vielen verschiedenen Domain-Namen, über die sie Malware, Adware und vorgebliche Anti-Spyware verbreitet.

Wer über die Treffer in Live.com auf eine dieser Websites gelangt, wird je nach Herkunft mit anderen Inhalten bedient. Die Server werten die IP-Adresse des Besuchers aus und ordnen sie ihrer geografischen Herkunft zu. Italiener werden auf Seiten umgeleitet, die mit Exploits verschiedener Sicherheitslücken versuchen Malware einzuschleusen. Darunter sind Trojanische Pferde und Rootkits.

Deutsche und womöglich auch einige andere Europäer werden hingegen auf Seiten geleitet, die ihnen mit übertriebenen Sicherheitswarnungen das vorgebliche Anti-Spyware-Programm "ErrorSafe" aufdrängen. Wer hingegen mit einer IP-Adresse aus den USA ankommt, wird auf harmlose Seiten umgelenkt.

Außerdem setzen die Gromozon-Web-Server Cookies und werten diese bei erneutem Besuch aus. Italiener, die zum zweiten Mal auf einer solchen Seite landen, werden ebenfalls mit ErrorSafe konfrontiert. Zudem generieren die Scripte auf den Servern für jeden Besucher individuelle Download-URLs für die einzuschleusende Malware, die nur eine geringe Lebensdauer haben. Dadurch soll die Analyse durch Sicherheitsunternehmen wie Antivirus-Hersteller erschwert werden.

Auch wenn aktuell hauptsächlich Italien Ziel dieser Angriffe ist, kann die Konfiguration der Server-Scripte jederzeit auf ein neues Ziel umgestellt werden. Dann werden vielleicht Deutsche, Spanier oder Franzosen zur Hauptzielscheibe für die Gromozon-Malware. Zum Schutz des eigenen Rechners sollten Sie regelmäßig Sicherheits-Updates für Windows und den verwendeten Web-Browser installieren.

Quelle : www.pcwelt.de