869036

Spyware-Bande manipuliert Suchmaschinen

08.03.2007 | 16:38 Uhr |

Eine als Gromozon-Gang berüchtigte Gruppe hat es offenbar mit dubiosen Methoden der Suchmaschinenoptimierung geschafft, sich auf vorderen Plätzen bei Suchmaschinen zu etablieren und verbreitet schädliche Programme.

Spyware-Bande manipuliert Suchmaschinen
Vergrößern Spyware-Bande manipuliert Suchmaschinen

Die seit einiger Zeit bekannte und berüchtigte "Gromozon-Gang" scheint sich nahezu ungehindert in den Suchergebnissen von Live.com, dem Nachfoger der MSN-Suchmaschine breit machen zu können. Sie haben beliebte Suchbegriffe erkundet, eine Vielzahl von Domains registiert, die Websites miteinander verlinkt und so erfolgreich vordere Plätze bei Live.com erobert. Sie verbreiten auf diesem Weg so genannte "rogue Anti-Spyware" wie "ErrorSafe" - Derivate aus der berüchtigten "WinFixer"-Familie.

Betroffen ist einmal mehr vor allem Italien, aber auch deutsche Internet-Nutzer können in solche Fallen tappen - vielleicht auch, weil man in Teilen Norditaliens (Südtirol) Deutsch spricht. Gibt man bei Microsofts Suchmaschine beliebte italienische Suchbegriffe ein, sind unter den ersten Treffern mehrere Websites, deren URL mit einer Zahl beginnt, zum Beispiel "13.interruppe.com/suchbegriffe".

Wer im Browser Javascript deaktiviert hat, landet auf einer Seite, die wie viele andere dieser Art im Design der italienischen Flagge gestaltet ist. Sie enthält in der linken Spalte Dutzende von Links zu ähnlichen, um nicht zu sagen identischen Web-Seiten und im mittleren Teil Links zu legitimen Websites, die zum Suchbegriff passen.

Die von der Gromozon-Gruppe erstellten Seiten enthalten verschleierten Javascript-Code. Ist Javascript im Browser aktiviert, wird man beim Öffnen einer solchen Website sogleich umgeleitet. Es erscheint ein Javascript-Popup, das in reichlich schrägem Deutsch vor Gefahren für den PC warnt. Dann folgt die Download-Seite von ErrorSafe, die nochmal eindringlich dieses angeblich so nützliche Produkt anpreist und sogleich den Download des Installationsprogramms starten will. Beim Verlassen der Seite oder Schließen des Browser-Fensters folgen weitere aufdringliche Aufforderungen den PC mit ErrorSafe zu scannen.

Während Google mit gewissem Erfolg solche Suchmaschinenmanipulationen bekämpft und seit einiger Zeit zusammen mit Stopbadware.org Warnungen vor dem Aufruf dubioser und potenziell gefährlicher Websites einblendet (:wir berichteten), scheint Microsoft dieses Problem bei Live.com noch nicht im Griff zu haben.

Erkennung von ErrorSafe durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

SPR/Dldr.WinFixer.O.50

Avast!

---

AVG

WinFixer.EO (potentially harmful program)

Bitdefender

Application.Downloader.WinFixer.A

ClamAV

Adware.ErrorSafe-2

Command AV

---

Dr Web

Trojan.DownLoader.10963

eSafe

---

eTrust

---

Ewido

Not-A-Virus.Downloader.Win32.WinFixer.o

F-Prot

---

F-Secure

---

Fortinet

Download/WinFixer

Ikarus

not-a-virus:Downloader.Win32.WinFixer.o

Kaspersky

not-a-virus:Downloader.Win32.WinFixer.o

McAfee

---

Microsoft

Program:Win32/WinSoftware.ErrorSafe (threat-c)

Nod32

Win32/Adware.WinFixer (application)

Norman

W32/WinFixer.LP

Panda

Application/Winantivirus2006

QuickHeal

Downloader.WinFixer.o (Not a Virus)

Rising AV

---

Sophos

---

Symantec

ErrorSafe

Trend Micro

---

UNA

---

VBA32

Downloader.Win32.WinFixer.o

VirusBuster

---

WebWasher

Riskware.Dldr.WinFixer.O.50

GData AVK 2007 **

not-a-virus:Downloader.Win32.WinFixer.o


Quelle: AV-Test , Stand: 08.03.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

:Spaghetti-Code schaufelt Adware auf den PC (PC Welt Online, 25.08.2006)

0 Kommentare zu diesem Artikel
869036