Thema: Malware - Wie Hacker Google für ihre Zwecke missbrauchen

[SiLæncer]

Das Antiviren-Unternehmen Panda Software meldet die Entdeckung des Google-Wurms P2Load.A. Er leitet Google-Anfragen auf Fake-Seiten um. Seine Hauptfunktion scheint die gezielte Einblendung von Werbung zu sein. Nach Infektion des Systems lädt er eine neue Hosts-Datei aus dem Internet nach, über die der Wurmautor beliebige Seiten auf ebenso beliebige Ziele umleiten kann. Außerdem richtet er als Startseite eine Internetadresse mit zahlreichen Werbebannern ein.

Derzeit leitet der Wurm Google-Anfragen auf sehr gut imitierte Seiten um, die auf Suchanfragen zumeist dieselben Ergebnisse wie Google liefern, allerdings andere Werbung einblenden. Die Hosts-Datei ist so angelegt, dass auch übliche Schreibfehler auf den gefälschten Seiten landen, etwa www-google.com oder www.gogle.com. Damit soll offenbar der Traffic auf den "gesponsorten" Seiten erhöht werden. Es liegt Nahe, dass der Wurmautor dafür Geld erhält. Wie schon bei den Zotob-Würmern bleibt festzustellen, dass zunehmend handfeste finanzielle Interessen die Motivation der Wurm-Schreiber sind.

Der Wurm verbreitet sich über die Peer-to-Peer-Netzwerke Shareaza und Imesh und tarnt sich dabei als "nützliches" Programm; konkret als Knights of the Old Republic 2, ein Spiel aus der Star Wars Saga. Die Dateigröße von nur 45 KB für ein solches Spiel sollte aber schon alle Alarmglocken läuten lassen. Panda stuft P2Load.A in die mittlere Risikostufe ein.

Siehe dazu auch:

    * Viren-Information von Panda Software
    * Zotob-Würmer: Geld war das Motiv Meldung von heise Security


Quelle und Links : http://www.heise.de/newsticker/meldung/63977

[SiLæncer]

Der Antivirus-Hersteller Panda Software meldet die Entdeckung eines P2P-Wurms, der Adware-Funktionen enthält. "P2Load.A" verbreitet sich über die Peer-to-Peer-Netze (P2P) "Shareaza" und "Imesh". Er überschreibt die Hosts-Datei und leitet so Suchanfragen um.

P2Load.A verbreitet sich in den P2P-Netzen als Spiel aus der Star-Wars-Saga mit dem Titel "Knights of the Old Republic 2". Die geringe Dateigröße von 45 Kilobytes sollte potenzielle Opfer stutzig machen. Wird die Datei ausgeführt, zeigt sie eine Fehlermeldung an. Diese besagt in fehlerhaftem Englisch, dass eine Datei namens "vb2.dll" veraltet sei und eine neuere Dateiversion geladen werden müsse.

Der Wurm legt eine Kopie von sich als "winlogin.exe" im System-Verzeichnis von Windows ab. Diese Datei trägt er in die Registry ein, damit sie beim Start von Windows automatisch geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Winlogin = %sysdir%\winlogin.exe

Ferner ändert der Wurm die Registry-Einträge des Internet Explorers, in denen die Start- und Suchseiten festgelegt sind. Die Startseite des Internet Explorers zeigt nun Werbung an. Ferner lädt er eine Datei aus dem Internet herunter und überschreibt damit die vorhandene Datei "HOSTS". Diese enthält Zuordnungen von Web-Adressen zu IP-Adressen. So manipuliert der Wurm das Ziel von Suchanfragen, die eigentlich für Google bestimmt sind. Er leitet sie auf eine andere Website um, die mehr oder weniger die gleichen Suchergebnisse liefert, jedoch andere "Sponsored Links" (Werbe-Links) zur Verfügung stellt.

Die Suchseite ist eine nahezu perfekte Kopie von Google, einschließlich der Unterstützung mehrerer Sprachen. Auch Vertipper wie "wwwgoogle.com" oder www.gogle.com" werden erfasst und umgeleitet. Mit der manipulierten HOSTS-Datei könnte der Wurm P2load.A auch Anfragen an jede beliebige andere Website umleiten. Zweck des Wurms ist wohl Geld durch den Verkauf der Werbeanzeigen auf dem manipulierten Suchportal zu verdienen.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/120235/index.html

[SiLæncer]

Tony Ruscoe berichtet im Blog Google Blogoscoped über eine von ihm entdeckte Sicherheitslücke bei Google, mit der Angreifer in fremde Accounts eindringen konnten. Indem man ein Opfer auf eine speziell präparierte Seite lockte, konnte man damit unter anderem dessen bei Google Docs & Spreadsheets hinterlegten Dokumente einsehen und verändern, auf die personalisierbare Homepage des Opfers zugreifen, dessen Google-Accounts-Seite sehen sowie das private Google Notebook lesen.

Vollständig übernehmen ließen sich Accounts mit dem Hack nicht. So konnte ein potenzieller Angreifer zum Beispiel nicht das Account-Passwort ändern oder auf Gmail zugreifen (Allerdings ließen sich über das Gmail-Modul der persönlichen Homepage die Betreffzeilen und ersten Worte neuer Mails einsehen).

Der Hack nutzte eine neue Funktion namens Custom Domains aus, mit der Benutzer der Plattform Blogger.com ihre Blogs unter einem beliebigen Domain-Namen veröffentlichen können. Dazu muss der Benutzer eine Domain besitzen und in deren DNS-Eintrag einen so genannten CNAME-Record anlegen, der Anfragen an seine Domain an einen Server bei Google weiterleitet. Außerdem muss man in den Einstellungen seines Blogs angeben, welche Domain dazugehört.

Ruscoe hatte beobachtet, dass man in den Einstellungen bei Blogger.com einen beliebigen Domain-Namen angeben konnte, egal ob man der Inhaber der Domain war oder nicht. Insbesondere fand er auch eine google.com-Subdomain, unter der er auf diese Weise ein Blog publizierte. Mit einem einfachen JavaScript konnte er dort das Google-Cookie von Besuchern auslesen. Mittlerweile ist laut Google und Ruscoe das Problem behoben. Google lässt bei der Einrichtung von Blogger Custom Domains Google-Domains nicht mehr zu.

Quelle : www.heise.de

[SiLæncer]

Nach der Sicherheitslücke, mit der Angreifer ein Stück weit in die Google-Accounts beliebiger Nutzer eindringen konnten, ist ein zweites, ähnlich gelagertes Problem bekannt geworden. Wie bei der vorangegangenen Schwachstelle lässt sich das Google-Cookie der Nutzer auslesen. Damit hat der Angreifer zwar nicht vollen Zugriff auf den zugehörenden Google-Account. Dennoch erhält er Zugriff auf viele persönliche Informationen, etwa die bei Google Docs & Spreadsheets hinterlegten Dokumente und die komplette Suchhistorie. Dazu muss das Opfer eine präparierte Seite aufrufen.

Anders als der ersten Sicherheitslücke beruht die zweite auf Cross Site Scripting. In der URL des Google-Dienstes wird dabei ein Script geladen, das das Cookie des Opfers ausliest und an den Server des Angreifers sendet. Laut Philipp Lenssen, Betreiber des Blogs Google Blogoscoped, hat Google die Ursache des Problems schon aus der Welt geschafft. Weitere Details sind aber noch nicht bekannt.

Quelle : www.heise.de

[SiLæncer]

Google hat einen Vorfall bestätigt, bei dem werbefinanzierte Sponsored Links respektive AdWords auf Seiten führten, die versuchten, Besucher über eine ältere Lücke im Internet Explorer 6 mit einen Trojaner zu infizieren, der Passwörter ausspäht. Google hat das zugehörige AdWord-Konto nach eigenen Angaben gelöscht. Wieviele Anwender sich möglicherweise infiziert haben, ist unbekannt, allerdings dürften aufgrund der außergewöhnlichen Suchbegriffe "BetterBusinessBureau", "Florida Business Opportunity Law" oder "Modern cars airbags required" nur wenige Anwender die Links zu Gesicht bekommen haben.

Aufgedeckt hat das Problem der Hersteller von Sicherheitsoftware Exploit Prevention Labs, der im Rahmen seines Community Intelligence Networks darauf gestoßen war. Bei Eingabe der genannten Suchbegriffe erschien der bösartige Link unter den AdWords, der vorgab, auf die harmlose Seite www.bbb.org zu führen. Unglücklicherweise verbergen die Sponsored Links bei Google das wahre Ziel, es wird auch nicht in der Statuszeile beim Bewegen der Maus über den Link angezeigt.

Google gibt zwar an, Sponsored Links manuell und automatisch daraufhin zu überprüfen, ob sie für Anwender ein Risiko darstellen, im vorliegenden Fall muss es aber immerhin zwei Wochen gedauert haben, bis der Link entfernt wurde. Die Exploit Prevention Labs wollen den Link bereits ab dem 10. April gesehen haben, erst am 24. April wurde er von Google entfernt. Der Suchmaschinenbetreiber will nun Maßnahmen ergreifen, um solche Angriffe zukünftig zu vermeiden. Sicherheitshalber empfiehlt Google in seiner Mitteilung den Anwendern noch, sich das kostenlose Google Pack zu installieren, in dem ein Virenscanner (Norton Security Scan) und ein Spywarescanner (Spyware Doctor) enthalten sind.

Mit problematischer Werbung hatte auch Microsoft bereits zu kämpfen. Anwendern des Windows Live Messenger von Microsoft wurde im Februar dieses Jahres Banner-Werbung für fragwürdige Software eingeblendet. Dabei führte das Banner im Messenger den Anwender auf eine Webseite der vermeintlichen Antisypware-Anwendung SystemDoctor 2006, die den Anwender mit irreführenden Meldungen zum Download und zur Installation von dubioser Software bewegen wollte. Microsoft entschuldigte sich für diesen Vorfall.

Siehe dazu auch:

    * Google sponsored links not safe?, Blogeintrag der Exploit Prevention Labs
    * Protecting your security online, Bericht von Google

Quelle und Links : http://www.heise.de/security/news/meldung/88954

[SiLæncer]

Das SANS Internet Storm Center warnt vor einer gefährlichen URL.

Zuerst hielten die Experten google-counter[punkt]com für eine weitere Inkarnation des Google-Counters. (WARNUNG! Die Adresse ist zum Zeitpunkt des Schreibens immer noch aktiv und gefährlich. Aufrufen erfolgt auf eigene Gefahr!). Zunächst dachten die Spezialisten beim Alarm des Virenscanners, dass Google mit irgendwelchen komplizierten AjAX-Geschichten einen so genannten False-Positiv erzeugt hatte. Bei genauerem Hinsehen entdeckten die Spezialisten, dass die Seite mehrere IFRAMES enthält. Diese versuchen, den bekannten ANI-Exploit auszunutzen (MS06-014, MS 07-017).

Alle schadhaften PHP-Seiten versuchen, eine Datei „down.exe“ herunterzuladen und auszuführen. Die Experten dekodierten die schadhafte Konfigurationsdatei und fanden heraus, dass es sich hier um einen Keylogger und Bank-Trojaner handelt. Eine Liste der betroffenen Banken und weitere Informationen finden Sie bei SANS. (jdo)

Quelle:
http://www.tecchannel.de/news/themen...343/index.html

[SiLæncer]

Wer im Internet nach kostenlosen Vorlagen für Office-Dokumente sucht, kann in die Malware-Falle tappen. In den Trefferlisten von Google führt eine Anzeige zu einer Website, die statt Vorlagen ein Trojanisches Pferd liefert.

Die Suche im Internet nach Dingen, die nichts kosten, hält so manche Fußangel bereit. So berichtet das Internet Storm Center über einen bezahlten Link in den Suchergebnissen von Google für "kostenlose Vorlagen", der zu einer Malware-Site führt.

Auf der beworbenen Website werden vorgeblich allerlei Vorlagen zum kostenlosen Download angeboten. Das Spektrum reicht von Musterbriefen über Einladungen bis zum Haushaltsbuch. Jede Vorlage ist auf einer eigenen Seite ausführlich beschrieben. Der Download-Link zeigt jedoch auf jeder der Seiten auf die selbe, 115 KB große SCR-Datei.
Dabei handelt es sich um ein Trojanisches Pferd aus der "Bzub"-Familie. Wird es herunter geladen und ausgeführt, installiert es eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows. Diese wird als Browser Helper Object (BHO) im Internet Explorer registriert. So kann der Schädling alle in Online-Formulare eingegebenen Zugangsdaten protokollieren, etwa die für das Online-Banking.
Die bezahlten Links erscheinen inzwischen nicht mehr bei Google, die Website ist jedoch noch mit mehreren Treffern im Google-Index vertreten.

Quelle : www.pcwelt.de

[SiLæncer]

Mit einem simplen Trick versuchen Spammer, Links zu Malware-verseuchten Webseiten als harmlose Links zu Google-Suchergebnisseiten zu tarnen. Darauf weist die Internet-Sicherheitsfirma Trend Micro hin. Sie machen sich zunutze, dass die Suchmaschine bei Verwendung der Suchoption "Auf gut Glück" automatisch zum ersten Suchtreffer weiterleitet. Auf diese Weise können Angreifer den guten Ruf der Suchmaschine für ihre Zwecke nutzen, weil das Misstrauen gegenüber Google-Links überwiegend sehr gering ausfallen dürfte.

Man muss schon genau hinschauen, um beispielsweise in einer Mail den regulären Such-Link http://www.google.de/search?q=%22Hommingberger%20Gepardenforelle%22 von einem zugehörigen Auf-gut-Glück-Link http://www.google.de/search?btnI&q=%22Hommingberger%20Gepardenforelle%22 zu unterscheiden. Beim Aufruf der ersten URI zeigt der Browser wie erwartet die Ergebnisliste. Im zweiten Fall landet der Anwender hingegen direkt auf einer fremden Webseite. Die unscheinbare Zusatzvariable "btnI" ist der Auslöser für den automatischen Redirect.

Um diese Übersprungshandlung auszunutzen, muss ein Angreifer zunächst dafür sorgen, dass seine Webseite bei einem bestimmten Suchbegriff ganz oben in der Ergebnisliste erscheint. Das geht am einfachsten, indem er ein Unsinnswort wie "heisefizierung" auf der Seite platziert. Anfangs führt die Umleitung noch zu einer Google-Seite, die moniert, dass es keine Suchergebnisse zu vermelden gibt. Das ändert sich jedoch, sobald der Google-Bot die Seite des Angreifers in den Index der Suchmaschine aufnimmt, was je nach Beliebtheit einer Seite schon innerhalb weniger Stunden geschehen kann. Deshalb wird auch dieser unverdächtige Google-Link den Surfer bald ungefragt weiterleiten – in diesem Fall nur zurück auf diese ungefährliche heise-Meldung.

Bis der arglose Anwender merkt, dass er nach dem Klick auf einen solchen präparierten Google-Link nicht wie erwartet eine Liste mit Suchergebnissen erhält, ist es unter Umständen bereits zu spät und der Rechner schlimmstenfalls durch eine Browser-Sicherheitslücke mit Schadcode infiziert. Auch Phishern könnten die vertrauenerweckenden Google-Links in die Hände spielen.

Der Trick funktioniert nicht nur mit der Funktion "Auf gut Glück", sondern auch mit der Weiterleitungsfunktion, die etwa Firefox einsetzt, wenn der Anwender eine ungültige Internetadresse in die Adresszeile eintippt. Hierbei erfolgt der Aufruf mit einer URL im Format http://www.google.com/search?sourceid=navclient&gfns=1&q=heisefizierung.

Technische Gegenmaßnahmen seitens Google oder der Anwendungshersteller dürften vorerst nicht zu erwarten sein. Anwender werden daher in Zukunft wohl auch beim Klick auf Google-Links in E-Mails oder auf Webseiten genauer hinsehen müssen.

Quelle : www.heise.de

[Jürgen]

Es sollte wohl wirklich jedem klar sein, dass solche Suchmaschinen-Links  keine verlässlichen Ziele bieten, weil sich die Suchergebnisse ständig ändern.

Eine Suchmaschine ist eben kein Lexikon.

Damit ist sonnenklar, wer solche Links verbreitet, der führt nix Gutes im Schilde oder ist schlicht ein ahnungsloser Depp. Und auch Deppen ist natürlich nie zu vertrauen.

[SiLæncer]

Opfer werden auf falsche Webseiten gelockt

Im Internet wurde ein Schädling ausgemacht, der den Inhalt von Googles Textanzeigen durch eigene Text-Annoncen ersetzt. Dadurch können Opfer auf Webseiten geleitet werden, die Schadcode bereitstellen. Auch Webseiten-Betreiber können die Leidtragenden sein, weil ihre gebuchte Werbung nicht mehr angeklickt wird.

Das Trojanische Pferd Trojan.Qhost.WU verändert die Host-Datei von Windows, berichten die Sicherheitsfachleute von BitDefender. Dadurch werden alle Anfragen für Googles AdServer abgefangen und die Opfer öffnen ohne es zu wollen Webseiten anderer Anbieter. Diese Art des Angriffs über die Modifikation der Host-Datei ist zwar nicht neu, aber bemerkenswert ist, dass Google-Textanzeigen im Fokus einer solchen Manipulation stehen.

Quelle : www.golem.de

[SiLæncer]

Im vergangenen November nutzten Internet-Verbrecher die Beliebtheit von Google für einen massiven Malware-Angriff auf ahnungslose Suchmaschinen-Nutzer aus. Die präparierten Sites wurden dabei mittels Suchmaschinenoptimierung in den Ergebnislisten sehr weit oben aufgeführt. Alex Eckelberry, Chef der Sicherheitsfirma Sunbelt Software, erklärt, wie die Gauner vorgegangen sind.

In der westlichen Hemisphäre ist Internet-Suche nahezu gleichbedeutend mit Google. Das Quasi-Monopol in diesem Bereich macht das Unternehmen - analog zu Windows - immer interessanter für Internet-Verbrecher. Alex Eckelberry, CEO von Sunbelt Software, berichtet in einem Beitrag unserer Kollegen der PC World nun über einen massiven Malware-Angriff, bei dem die Betrüger Google für ihre Zwecke missbraucht haben.

Demnach begann der Angriff am 24. November 2007 und dauerte knapp eine Woche. Insgesamt haben die Angreifer laut Eckelberry dabei über 40.000 mit Malware gespickte Sites online gestellt und diese auf unverfängliche Suchbegriffe optimiert. Darunter beispielsweise Suchanfragen wie "Microsoft excel to access" oder "how to teach your dogs to fetch". In einem zweiten Schritt wurden diese Sites über ein Botnet beworben, indem die Zombie-Rechner automatisch in diversen Foren oder Blogs Links auf die verseuchten Sites setzten. Dies trug laut Eckelberry dazu bei, dass die Sites bei Google in den Ergebnislisten häufig auf der ersten Seite auftauchten.

Sobald ein Anwender über die Google-Suche zu einer solchen Site gelangte, wurde die übliche Malware-Maschinerie in Gang gesetzt. Dabei wurde laut Eckelberry versucht, diverse Sicherheitslücken auszunutzen, oder - falls der Rechner ansonsten keinen Angriffspunkt bot - auf Phishing, also das Abfragen persönlicher Informationen, gesetzt. "Es handelte sich um eine gewaltige Welle", sagte Eckelberry. Der Angriff markiere zugleich eine neue Stufe der Entwicklung, bei der verschiedene Techniken genutzt werden, um Malware-verseuchte Sites zu bewerben und Anwender in die Falle zu locken.
Auf den Angriff aufmerksam wurde der Sunbelt-Forscher Adam Thomas, als er auf der Suche nach einer Router-Firmware die Abfrage "netgear ProSafe DD-WRT" eintippte. Ihm kam bei den Ergebnissen der ersten Seite ein Link verdächtig vor. Weitere Nachforschungen ergaben dann, dass bei einer Vielzahl weiterer, unverfänglicher Anfragen, ähnliche Ergebnisse zu Tage traten.

Mittlerweile finden sich keine dieser Sites mehr in den Ergebnislisten von Google, auch wurden verseuchte Websites von Trittbrettfahrern mittlerweile geblockt. Wie Google dabei im Detail vorgegangen ist, ist allerdings nicht bekannt.

Erheblicher Planungsaufwand - speziell Google im Visier

Im Zusammenhang mit dieser Angriffswelle sind insbesondere drei Punkte hervorzuheben, die verdeutlichen, wie viel Planungsaufwand hinter der auf den ersten Blick lapidaren Attacke steckte. Da wäre erstens die Nutzung des Botnets zu nennen, um quasi die "dunklen Mächte" der Suchmaschinenoptimierung für ihre Zwecke zu nutzen. Diese Vorgehensweise wird auch "Google bombing" genannt. "Sie haben bei der Optimierung der Suchergebnisse mit Hilfe der Bots außergewöhnliche Arbeit geleistet", sagte Eckelberry.

Dann haben die Angreifer in den Sites einen speziellen Javascript Code implementiert, der dafür gesorgt hat, dass ausschließlich Anwender, die über Google auf die Websites gelangen, angegriffen werden. Anwender, die andere Suchmaschinen nutzten waren also sicher. "Dies war ein Weg, mit dem Finger auf Google zeigen zu können", urteilt Eckelberry. Welches Motiv hinter dieser Vorgehensweise steckt, ist nicht bekannt. Möglich wären Racheakte, oder der Versuch, auf die Marktmacht von Google zu verweisen.

Und drittens haben die Urheber des Angriffs weiteren Code in die Sites integriert, der dafür gesorgt hat, dass diese bei der Eingabe bestimmter Suchparameter nicht in den Google-Ergebnislisten auftauchten. Bei diesen Parametern handelte es sich im speziellen um Begriffe, die von Sicherheitsforschern (oder fortgeschrittenen Anwendern) verwendet werden. Als Beispiele nennt Eckelberry "inurl" und "site". Auf diese Weise haben die Angreifer offensichtlich versucht, die verseuchten Sites so lange wie möglich vor erfahrenen Anwendern und Profis zu verstecken und sich auf unerfahrene Anwender zu stürzen.

Die Ausnutzung von Maßnahmen zur Suchmaschinenoptimierung kann aber nicht nur für die Verbreitung von Malware genutzt werden. So wurde beispielsweise vor einiger Zeit die Website von Al Gore gehackt und im Quellcode mit einem Link auf eine Online-Apotheke versehen, um dieser eine höhere Bewertung durch Google zu verschaffen. Laut dem Sicherheits-Chef von Whitehat Security ist ein solches Vorgehen bares Geld wert. So soll der erste Platz beim Suchbegriff "buy Viagra online" monatlich 50.000 Dollar wert sein.

Wie Sie sich vor derartigen Angriffen schützen

Trotz des massiven Angriffs über Google, der mit Sicherheit auch nicht der letzte sein wird, raten die Sicherheitsforscher nicht davon ab, Google zu nutzen. Allerdings sollten Sie ein wenig Vorsicht walten lassen, was beim Surfen aber grundsätzlich kein schlechter Ratschlag ist. Da derartige Websites in der Regel bekannte Sicherheitslücken abfragen, empfiehlt es sich logischerweise, den Rechner immer auf dem aktuellen Stand zu halten. Dabei reicht es aber nicht, lediglich Windows und dem Internet Explorer Updates zu spendieren, auch andere Anwendungen wie beispielsweise Apple Quicktime sollten wenn möglich über eine automatische Update-Funktion fortwährend aktualisiert werden. Zudem sollten Anwender auch an die Programme denken, die eine solche Automatik nicht bieten, etwa Winzip.

Doch selbst wenn auf dem Rechner alle Updates installiert sind, müssen die Augen weiter offen gehalten werden. Beispielsweise versuchen die Angreifer, Anwendern vorgebliche Video-Codecs unterzuschieben, in Wirklichkeit installiert sich ein Malware.

Und bei Suchergebnislisten ist es hilfreich, sich den beschreibenden Text zu einer Site genauer anzusehen. Werden dort massenhaft Schlüsselbegriffe zusammenhanglos aufgelistet, etwa "vpn passthrough sting maphack light Motorola", sollte man von dem Besuch einer solchen Site absehen. Auch der Link selbst kann sehr aufschlussreich sein. So ist etwa eine seltsame Namensgebung wie "leuwusxrijke.cn/769.html" bereits ein Alarmzeichen.

Quelle : www.pcwelt.de

[Jürgen]

Allzuviele Forenbetreiber machen sich im Grunde mitschuldig.

Als Erstes ist dabei anzukreiden, dass sehr oft die Mitgliederlisten frei einsehbar sind, auch für die bekannten Crawler, und so ohne Schwierigkeiten dort massenhaft Schlüsselformulierungen wie das erwähnte "buy V.. online" unterzubringen sind, die wiederum dann bei Goo... & Co. gezählt und als relevant eingestuft werden.
Und die meisten Betreiber freuen sich über den regen Mitgliederzuwachs, anstatt sich seibst 'mal wieder die Liste anzusehen und nachzudenken...

Crawler kann man meist schnell an der IP erkennen, z.B. sobald man sich fragt, warum jemand als Gast in der Mitgliederliste wühlt, oder in allen Sektionen gleichzeitig.
Ansonsten sollte man sich überlegen, ob man die grossen chinesichen Provider überhaupt hineinlassen will. In letzter Zeit ist festzustellen, dass gerade dort sogar extra für Fake-Registrierungen zunehmend kurzfristige Mai-Server aufgesetzt werden.
Sehr fraglich ist auch, ob man Anmeldungen mit Adressen der grossen russichen Freemailer erlauben sollte.

Sicher, etwas Mühe muss man sich gelegentlich machen. Immer 'mal wieder. Aber das ist ohnehin sonnenklar, sobald man sich entschliesst, einen Ort anzubieten, an dem Unbekannte Inhalte speichern können, und sei es nur im Nutzerprofil.

Hinzu kommt, dass durch Forenbetreiber, einmal aufgesetzt, die Soft meist nie mehr gepflegt wird, wodurch z.B. Captchas als sicher missverstanden werden, die die Bots längst zu umgehen wissen.

Word-Censors werden fast immer als politisch unkorrekt angesehen, obwohl sie, vorsichtig eingesetzt, durchaus manches verhindern könnten. Was spricht denn wirklich dagegen, in einem nicht medizinbezogenen Board "Viagra" automatisch durch "SPAMMERS' DELIGHT" zu ersetzen, oder z.B. "incest" durch "***---CRIME---***"...
Im Zweifelsfalle eignet sich gerade Google hervorragend, anscheinend sinnlose Suchbegriffe wie "drector" oder "[TPPKSKPPLPTP]" schnell auf einschlägigen Einsatz zu prüfen und daraus Konsequenzen zu ziehen.

Bei der Suche nach der Herkunft und Vorgehensweise der Bots stösst man immer wieder auf dieselben russischen Seiten, auf denen fake accounts für zahlreiche Foren angeboten werden, bei genauerem Hinschauen dann auch Kreditkartennummer und andere Indizien für Schwerkriminalität.
Mit derlei Schindluder kann man offensichtlich auch einen Aufschung anstossen, nicht wahr, Genosse Putin?

Mit Prog habe ich in letzter Zeit ziemlich heftige Diskussionen geführt, weil auch sein Board massenhaft von den Spammern zugemüllt und missbraucht wurde. Es hat einige Überzeugungskraft und sogar erheblichen Druck gebraucht, bis er endlich bereit war, zumindest überhaupt 'mal kleine Änderungen durchzuführen.
Die eigene Geldgier steht oft dem gesunden Menschenverstand massiv im Weg.

Zufrieden schlafen legen gilt nicht, denn die Übeltäter schlafen nicht...

Jürgen

[SiLæncer]

Die Statistiken der Antispam-Organisation Spamhaus fördern dieser Tage Überraschendes zu Tage. Im Ranking der von Spammern am meisten genutzten Netzwerke nimmt seit einigen Tagen Google einen vorderen Platz ein. Aktuell ist das Netz des Suchmaschinenriesen sogar als Drittbösestes gelistet. Seit Februar 2007 sind der Statistik zufolge 31 Meldungen über Spam-Wellen eingegangen, die unter Zuhilfenahme des Google-Netzwerks durchs Internet schwappten.



Auffällig oft haben Spammer in jüngster Zeit den Dienst Google Docs als Redirect-Service missbraucht. Dabei führen Links in Werbemails auf eine Docs-Page, wohl, damit die Nachricht seriöser wirkt. Von dort aus wird der Browser direkt zu einer anderen Site weitergeleitet, wo dann wie üblich Potenzmittelchen feilgeboten werden. Gegenüber der Washington Post erklärte nun ein Google-Sprecher, man habe das Problem erkannt und begonnen, Verbesserungen in Google Docs zu implementieren.

Quelle : www.heise.de

[SiLæncer]

Kriminelle haben mehrere gefälschte Profile prominenter Personen auf der Social Networking Site LinkedIn angelegt, um ahnungslose Anwender anzulocken und ihnen unerwünschte Software unterzuschieben. Die Profile wurden unter anderem unter den Namen von Beyoncé Knowles, Victoria Beckham, Christina Ricci, Kirsten Dunst, Salma Hayek und Kate Hudson angelegt. In den Profilen versprachen mehrere hinterlegte Links, zu Nacktfotos und -filmen der jeweiligen Person zu führen. Dort erwartete den Anwender stattdessen aber den Berichten von Antivirenherstellern zufolge ein nachgemachter Virenscanner oder der Download eines trojanisierten Mediaplayers für Windows.

Neben den genannten Profilen sollen die Kriminellen noch hunderte weiterer, ähnlicher Konten auf LinkedIn erstellt haben. Mittlerweile sollen die meisten davon aber bereits wieder gelöscht sein. Nach Angaben von Trend Micro werden vor-registrierte Konten auf Social Networking Sites mit dem Namen Prominenter im Untergrund gehandelt, da diese sich als Plattform für diverse Angriffe missbrauchen lassen. Die Registrierung auf den bekannten Plattformen führt bei Google zu einem hohen Ranking, sodass eine Suche nach einer Person häufig auf derart manipulierte Seiten führt.

Kürzlich war Twitter schon Ziel eines Hackerangriffs, bei dem die Accounts Prominenter geknackt wurden, um ihnen im Micro-Blog Dinge in den Mund zu legen. Zudem schwappte am Wochenende eine Phishing-Welle durch Twitter.

Damit bestätigt sich einmal mehr eindrucksvoll, dass Spammer, Phisher und andere Betrüger die Popularität der großen Sites für ihre Zwecke missbrauchen. Auch Google dient immer häufiger als Plattform für dubiose Zwecke. So nutzen Spammer mittlerweile Google Docs, um Links in Mails einen vertrauten Anstrich zu geben und Anwender zum Klick zu bewegen. Dies hat dazu geführt, dass Google in der Liste der "10 Worst Spam Service ISPs" der Antispam-Organisation Spamhaus auf Platz drei gelandet ist.

Siehe dazu auch:

    * Phishing-Angriff auf Twitter-Anwender, Meldung auf heise Security
    * Google als Spammer-Gehilfe, Meldung auf heise Security
    * Micro-Blog Twitter gehackt, Meldung auf heise Security
    * Scharlatane und Hochstapler, Zweifelhafte Antiviren-Produkte, Hintergrundartikel auf heise Security

Quelle : http://www.heise.de/newsticker/Gefaelschte-LinkedIn-Profile-verbreiten-Trojaner--/meldung/121253

[SiLæncer]

Laut McAfees Sicherheitslabor AvertLabs wurden in den letzten Wochen verstärkt Projektseiten von Googles Code-Hosting-Projekt Code missbraucht, um Surfern Malware unter zu schieben. Die präparierten Webseiten versprechen kostenlose Porno-Filme; will man diese abspielen, so meldet ein Skript, dass dem Rechner ein benötigter Codec fehlen würde. Stimmt man dem Download zu, landet natürlich kein Codec, sondern ein Trojaner im System.

So weit kennt man die Attacke schon von anderen Webseiten – pikanterweise scheint Google jedoch alle Code-Seiten in seinen Index aufzunehmen. Durch "Suchmaschinenoptimierungen" erreichen die präparierten Webseiten eine bessere interne Bewertung in Googles Index; bei der Suche nach entsprechenden Stichwörtern tauchen sie also weiter oben in der Liste der Suchergebnisse auf. Die Server, die die gefälschten Codecs verbreiten, stehen in Lettland und werden offensichtlich auch zur Verteilung von falscher Anti-Irgendwas-Software verwendet.

Quelle : www.heise.de