Schädliche Werbebanner auf Handelsblatt.de und Zeit.de [2. Update]

Besucher von handelsblatt.de und zeit.de bekamen gestern vereinzelt Schadcode untergeschoben, der sogenannte Scareware auf dem System installierte. Scareware gaukelt dem Anwender wiederum eine Infektion mit Trojanern und Viren vor. Um die vermeintlichen Virenfunde zu beseitigen, versuchen die Programme dem Anwender den Kauf einer Vollversion aufzudrängen. Dabei nerven sie mit häufigen Warnmeldungen im laufenden Betrieb oder blockieren gar das System. Wie man Scareware erkennt, sich davor schützt und sie beseitigt, erklärt der Artikel Scharlatane und Hochstapler auf heise Security .

Wie die Scareware ins System eindrang, ist unklar, möglicherweise nutzte sie bekannte, aber vom Anwender nicht gepatchte Browser-Lücken aus. In einer Stellungnahme bestätigte Christian Herp, der Geschäftsführer der Vermarktungsorganisation der Verlagsgruppe Handelsblatt GmbH, gegenüber heise Security, dass über eine Werbekampagne eines Kunden vereinzelt ein Trojaner an Nutzer ausgeliefert wurde. Dieser sei trotz intensiver technischer Prüfungen zunächst weder durch den eigenen noch die vom externen Dienstleister eingesetzten Virenscanner erkannt worden. Zuschriften von betroffenen Lesern an heise online bestätigen dies.

"Da der Trojaner nicht jedes Mal ausgeliefert wurde, sondern nur bei jedem 1000sten Aufruf, konnte die Schadstelle erst kurz nach Mitternacht in einer Testumgebung lokalisiert werden", erläuterte Herp in einer E-Mail. Hinter der Aktion stecke aus seiner Sicht hohe kriminelle Energie. Die Werbekampagne wird bereits seit gestern Abend nicht mehr ausgeliefert. Herp äußert sich zwar nicht zum Vorfall auf zeit.de, allerdings gehören sowohl die Zeit als auch das Handelsblatt zur Holtzbrinck Medien GmbH und haben den gleichen Vermarkter. Vermutlich erschien deshalb auf zeit.de die gleiche maliziöse Werbekampagne. Ein vereinzelter Leser berichtete, dass ihm auch Scareware auf welt.de untergeschoben wurde.

Bei der Scareware soll es sich um "Antivirus Soft" und "Antivirus Plus" handeln. Ein betroffener Leser berichtet, dass die manuelle Deinstallation von "Antivirus Soft" nach einer Anleitung in einem Antimalware-Forum erfolgreich verlief.

Zuletzt wurde die New York Times von Betrügern für derartige Angriffe missbraucht. Ihnen war es gelungen, eigene Banner-Ads über das Werbenetzwerk der Zeitung einzuschleusen, die beim Aufruf der Seiten eingeblendet wurden. Besucher des Online-Auftritts der New York Times bekamen dann sporadisch Einblendungen von Scareware zu Gesicht. Auch heise online hatte es Anfang 2008 getroffen

Panda Security weist aktuell auch auf Versuche von Betrügern hin, Links zu Scareware per Facebook zu verbreiten. Allerdings handelt es sich dabei offenbar nur um Webseiten, die täuschend echt die Oberfläche eines Windows-Virenscanners vortäuschen. Um eine Infektion des Systems handelt es sich hierbei aber nicht – solange der Anwender dem Drang widersteht, die angebotene Software herunterzuladen und zu installieren.

Update: Der zur Holtzbrinck-Gruppe gehörende IT-News-Dienst Golem lieferte nach eigenen Angaben die schädlichen Banner ebenfalls kurze Zeit aus. Analysen eines Lesers zufolge drang die Scareware über eine seit November bekannte und gepatche Lücke der Funktion MidiSystem.getSoundbank in Suns Java ein. Ein Exploit dafür ist ebenfalls seit November verfügbar.

2. Update: Bei dem Angriff kam vermutlich das Exploit-Toolkit Neosploit zum Einsatz, dass nicht nur Lücken im Java-Plug-in ausnutzte, sondern zusätzlich auch Fehler in den Plug-ins für QuickTime, Adobe Flash und Adobe Reader.

Siehe dazu auch:

• Bericht: Scareware erreicht "epidemische" Ausmaße
• Schädliche Werbebanner bei der New York Times
• Manipulierte Werbebanner drängen Anwendern Nörgel-Software auf
  

(dab)