Werbung statt Bewerbungsunterlagen

Gut gemachte Web-Seiten versprechen Bewerbungs- oder Vertragsvorlagen. Ins Haus kommt aber stattdessen Werbe-Software, die den Rechner nach ihren Vorstellungen umkonfiguriert.

In Pocket speichern vorlesen Druckansicht 186 Kommentare lesen
Lesezeit: 2 Min.

Mit einer raffinierten Masche wird derzeit versucht, Werbe-Software unter die Leute beziehungsweise auf deren Computer zu bringen. Dabei versprechen gut gemachte Web-Seiten Vorlagen für Bewerbungsunterlagen, Verträge oder auch Gedichte. Alle Links führen jedoch nur zum Download eines Zugangsprogramms wie "Bewerbungstipps-Setup.exe".

Hinter den Links der ansonsten gut gemachten Web-Seite verbirgt sich Werbe-Software.

Wer bei dessen Installation das Kleingdruckte in Form der Nutzungbedingungen liest, erfährt bereits recht genau, wo der Hase langläuft. So ist der Hersteller "nicht verpflichtet, besondere Dienste zu liefern" – was er auch nicht tut. Jedenfalls konnten wir keine einzige Bewerbungsvorlage entdecken. Im Gegenzug darf die Werbe-Software dann aber "eine Reihe von Änderungen am System des Kunden" vornehmen, also insbesondere Werbung einblenden, die Startseite des Browsers verändern, Zugriffe auf URLs umleiten und so weiter.

Wie eine Kurzanalyse von heise Security zeigte, macht die Software von all dem auch weidlich Gebrauch. Nach der Installation lädt sie aus dem Internet zunächst eine Liste mit mehr als 400 umzuleitenden Sites nach. Neben ADAC.de, Google.de und MySpace.de findet sich dort auch Heise mit einem Eintrag:

http://www.heise.de|http://www.sad01.com/1/linker.php?lid=ukxsRRxkX9

Im Folgenden werden dann Zugriffe auf diese Sites auf einen in der Ukraine registrierten Server umgeleitet. Erst nach einem Redirect landet der Anwender beim eigentlichen Ziel seiner Anfrage. Dabei läuft aber immer noch alles über einen lokal installierten Proxy auf Port 30, den die Werbe-Software installiert hat. Dieser Proxy wird über eine spezielle Proxy-Konfigurationsdatei proxy.pac sowohl in Internet Explorer als auch Firefox eingebunden und kann somit alle Web-Inhalte mitlesen oder nach Bedarf auch manipulieren.

Auch das BSI warnt bereits in einer Extraausgabe seines Newsletters vor derartigen Web-Seiten. Antiviren-Programme erkennen die Software zumeist nicht als Bedrohung. Bei dem getesteten Bewerbungstipps-Setup.exe meldeten lediglich AVG, Ikarus und NOD32 eine allgemeine Gefahr wie "Win32.SuspectCrc". Im etwas älteren gedichte.exe vermuteten hingegen immerhin schon AntiVir, BitDefender, F-Secure, Ikarus und Kaspersky eine Version des Trojaners Win32.Delf. (ju)