Vorsicht bei Google [Update]
Noch immer liefert Google Anzeigen für Seiten aus, die versuchen, Sicherheitslücken des Internet Explorer auszunutzen. Auch Suchergebnisse sind so manipuliert, dass sie auf Spyware-Seiten verweisen.
Auch 48 Stunden nach der Benachrichtigung durch heise Security hat Google die trojanischen Anzeigen nicht gestoppt, die versuchen, Sicherheitslücken des Internet Explorer auszunutzen. Zwar erscheint beim Klick auf die Anzeigen jetzt statt der blonden Anke eine Fehlermeldung "Error404", doch auch in diese Seite ist ein Skript eingebettet, das altbekannte Sicherheitslücken des Internet Explorer ausnutzt. Die Autoren haben sich einige Mühe gegeben und den gefährlichen Script-Code gleich mehrfach verschleiert.
Die Anzeigen erscheinen seit über zwei Tagen, wenn man auf google.de nach "Preisvergleich" oder "Gebraucht PC" sucht. Gleich rechts oben präsentiert Google eine Anzeige, die angeblich zum Evita Onlineshopping beziehungsweise computerclassic.de führt.
Doch auch Googles Suchergebnisse sind mit Vorsicht zu genießen. Wer sich auf die Suche nach der "Kreissparkasse Haar" begibt, sollte vor dem ersten Klick besser zweimal hinsehen.
Gleich das erste Suchergebnis verweist auf kreissparkasse-haar.zq1412jy.info, eine Seite, die mit verschiedensten Tricks versucht, Spyware auf dem System der Besucher zu installieren. Unter anderem nutzt sie dabei auch das bekannte mhtml-Sicherheitsloch des Internet Explorer. Wer mit einem ungepatchten Internet Explorer auf dieses Suchergebnis klickt -- oder gleich bei Google "Auf gut Glück" gesucht hat -- wird enteignet: Spyware übernimmt die Herrschaft über seinen PC. Wie das vor sich geht, illustriert die heise-Security-Serie Schädlingen auf der Spur.
Doch auch mit dem Service Pack 2 und allen aktuellen Updates ist man keineswegs auf der sicheren Seite. Ende letzten Jahres wurde ein neues Sicherheitsloch im Internet Explorer bekannt, für das noch keine Patches existieren. Da sich darüber auch auf aktuellen Windows-Systemen Programme herunterladen und installieren lassen, dürfte es nur eine Frage der Zeit sein, bis die Spyware-Seiten dieses Loch ausnutzen. Um sich davor zu schützen, kann man entweder im Internet Explorer Active Scripting abschalten oder einen anderen Browser wie den frei erhältlichen Firefox einsetzen.
Update:
Die Sparkasse ist beileibe nicht das einzige Ziel dieser Google-Spammer. Die Suche nach der Domain ergibt fast 25.000 Treffer, die Begriffe von "Autobahn staumelder" über "Hypovereinsbank" bis hin zu "Zelt kaufen" belegen. Außerdem gibt es diverse weitere .info-Domains wie ce20nr.info, or68ig.info, xw142eh.info, xr023qm.info, np07li.info, zp715tg.info, ht221xg.info, bd522ky.info und pe522us.info hinter denen sich ebenfalls solche Spyware-Seiten verbergen. Insgesamt dürften die Spammer weit über 100.000 solcher Seiten aufgesetzt und bei Google eingeschleust haben.
(ju)
