Donnerstag, Juli 17, 2008

SECURITY - Werbung statt Bewerbungsunterlagen

Mit einer raffinierten Masche wird derzeit versucht, Werbe-Software unter die Leute beziehungsweise auf deren Computer zu bringen. Dabei versprechen gut gemachte Web-Seiten Vorlagen für Bewerbungsunterlagen, Verträge oder auch Gedichte. Alle Links führen jedoch nur zum Download eines Zugangsprogramms wie "Bewerbungstipps-Setup.exe".

Hinter den Links der ansonsten gut gemachten Web-Seite verbirgt sich Werbe-Software.

Wer bei dessen Installation das Kleingdruckte in Form der Nutzungbedingungen liest, erfährt bereits recht genau, wo der Hase langläuft. So ist der Hersteller "nicht verpflichtet, besondere Dienste zu liefern" – was er auch nicht tut. Jedenfalls konnten wir keine einzige Bewerbungsvorlage entdecken. Im Gegenzug darf die Werbe-Software dann aber "eine Reihe von Änderungen am System des Kunden" vornehmen, also insbesondere Werbung einblenden, die Startseite des Browsers verändern, Zugriffe auf URLs umleiten und so weiter.
Wie eine Kurzanalyse von heise Security zeigte, macht die Software von all dem auch weidlich Gebrauch. Nach der Installation lädt sie aus dem Internet zunächst eine Liste mit mehr als 400 umzuleitenden Sites nach. Neben ADAC.de, Google.de und MySpace.de findet sich dort auch Heise mit einem Eintrag:
http://www.heise.de|http://www.sad01.com/1/linker.php?lid=ukxsRRxkX9

Im Folgenden werden dann Zugriffe auf diese Sites auf einen
in der Ukraine registrierten Server umgeleitet. Erst nach einem
Redirect landet der Anwender beim eigentlichen Ziel seiner Anfrage.
Dabei läuft aber immer noch alles über einen lokal installierten
Proxy auf Port 30,den die Werbe-Software installiert hat.
Dieser Proxy wird über eine spezielle Proxy-Konfigurationsdatei
proxy.pac
sowohl in Internet Explorer als auch Firefox eingebunden und kann
somit alle Web-Inhalte mitlesen oder nach Bedarf auch manipulieren.

Auch das BSI warnt bereits in einer Extraausgabe seines Newsletters
vor derartigen Web-Seiten. Antiviren-Programme erkennen die Software
zumeist nicht als Bedrohung. Bei dem getesteten
Bewerbungstipps-Setup.exe meldeten lediglich AVG, Ikarus und
NOD32 eine allgemeine Gefahr wie "Win32.SuspectCrc". Im etwas
älteren gedichte.exe
vermuteten hingegen immerhin schon AntiVir, BitDefender, F-Secure,
Ikarus und Kaspersky eine Version des Trojaners Win32.Delf.

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite