Cyberkriminelle missbrauchen die Fußball-WM zur eigenen Suchmaschinenoptimierung;

Kaspersky Lab warnt vor Drive-by-Downloads

Moskau/Ingolstadt, 5. Juli 2010 - Großereignisse wie die Fußballweltmeisterschaft beeinflussen die Internet-Suchanfragen bei Google und Co. Das lockt auch Cyberkriminelle an, die manipulierte Google-Links platzieren und speziellen Tricks versuchen, Nutzer auf gehackte Seiten zu locken und mittels Drive-by-Downloads mit Schadprogrammen zu infizieren.

Für viele Internet-Nutzer gilt: Alles „was Google weiß" und „Google findet" ist ein festgeschriebenes Online-Gesetz. Will man das geniale Tor von Lionel Messi gegen den spanischen Club Getafe sehen, tippt man nur schnell „Messi Getafe" in die Suchmaschine ein. Die Taktik geht auf, denn mit dieser Suchanfrage erhält man als Top-Treffer gleich die entsprechenden Videos bei YouTube präsentiert.

Ein willkommner Anlass für Cyberkriminelle, um über infizierte Webseiten Schadprogramme zu verbreiten. Besucht ein Nutzer eine dieser Seiten, wird sein Computer infiziert. Da viele Webseiten bereits für Google optimiert sind, ist es für Malware-Schreiber manchmal zu mühsam, eigene Seiten zu bauen und diese im Ranking nach vorne zu bringen. Daher werden die bestehenden Top-Treffer zu populären Begriffen auf Schwachstellen untersucht.

Die Schadprogrammschreiber starten dafür eine Google-Suche, um beliebte Webseiten zur Fußball-WM zu identifizieren. Die Top-Seiten, die sich aus der Suche ergeben, werden dann einem so genannten Penetrationstest unterzogen, um gezielt Schwachstellen zu ermitteln. Die anfälligsten Webseiten werden anschließend kompromittiert. Um ihre Spuren zu verwischen, fügen die Schadprogrammschreiber den kompromittierten Seiten dann keinen Code in Form von neuen Dateien, nicht einmal verschleierten Code hinzu. Stattdessen modifizieren Sie einfach Skripts, die bereits auf diesen Seiten ausgeführt werden.

Gerne wird den bestehenden Skripts die Funktion --referrer=http://www.google.com/ hinzugefügt. Sie prüft, woher der Besucher der infizierten Seite gekommen ist. Wenn die Verbindung über einen Link in einer Google-Suche zustande kam, wird der Besucher automatisch zu einer Reihe von infizierten Webseiten weitergeleitet, die nichts mit der ursprünglichen Seite zu tun haben. Die Folge: Der Anwender wird  mittels Drive-by-Download infiziert.

Einfacher Schutz

Ohne aktuellen Malware-Schutz auf dem PC fängt man sich mit einer harmlosen Suchanfrage unter Umständen einen Trojaner oder einen anderen Schädling per Drive-by-Download ein. Deshalb ist ein aktuelles Virenschutzpaket wie Kaspersky Internet Security 2011 oder Kaspersky PURE Pflicht. Außerdem sollten Betriebssystem und andere Software-Programme immer auf dem aktuellsten Stand gehalten werden.

Quelle: Kaspersky Labs GmbH