Google-Anzeige als Trojanisches Pferd [Update]
Eine Google-Anzeige leitet auf eine Web-Seite, die gezielt eine Sicherheitslücke des Internet Explorer ausnutzt.
Vorsicht beim Klick auf Google-Anzeigen, sonst kann man ungewollt auf einer Trojaner-Seite landen. Wer auf Google nach "Preisvergleich" sucht, erhält auf der rechten Seite eine Liste mit Google-Anzeigen. Die wirbt für eine "sichere" Einkaufsmöglichkeit:
Kaufen
Sicher einkaufen mit Preisvergleich
Ueber 3,5 Mio Angebote & 500 Shops.
www.evita.de/onlineshopping
Doch wer darauf klickt, landet nicht etwa beim Online-Shopping von Evita, sondern auf einer Seite, auf der sich die blonde Anke auf einer Couch räkelt. Und während der unbedarfte Anwender noch versucht, den mit seltsamen Umlauten verunstalteten Text über die Probleme schöner Menschen zu verstehen, läuft im Hintergrund schon ein Skript. Das nutzt den bekannten IFrame-Pufferüberlauf des Internet Explorer, um einen Trojaner auf dem System zu installieren. Auf Windows-Systemen ohne aktuelle Patches (MS04-040 oder XP Service Pack 2) lädt der Internet Explorer dieses Programm vollautomatisch, ohne weiteres Zutun des Anwenders.
Es ist derzeit nicht klar, wie diese heimtückischen Anzeigen auf die Google-Seite gelangen konnten und wo sie noch erscheinen. Da man vor dem Klick darauf nicht erkennen kann, wohin der Link führt, lassen sich die Trojaner-Anzeigen auch nicht ohne weiteres identifizieren. Heise Security hat Google bereits benachrichtigt und um eine Entfernung der Anzeigen gebeten. Windows-Anwender sollten zu ihrem eigenen Schutz unbedingt die aktuellen Microsoft-Patches einspielen.
Update, 1.1.2005
Weder Google noch der Provider haben bisher reagiert: Die Trojaner-Seite ist immer noch am Netz, und Google liefert weiterhin Anzeigen aus, die mit falschen Angaben auf sie verlinken. Dabei ist das angebliche Online-Shopping von Evita nicht die einzige Falle. Jemand scheint richtig viel Geld zu auszugeben, um diese Trojaner-Anzeigen unter die Leute zu bringen und hat neben "Preisvergleich" auch für den Begriff "Gebraucht PC" eine Top-platzierte Anzeige geschaltet:
Auch hinter "PCs gunstig online kaufen" lauert Anke mit ihrem IFrame-Exploit. Es ist anzunehmen, dass der Angreifer -- unter Umständen mit gestohlenen Kreditkartendaten -- noch weitere solcher trojanischen Anzeigen auf Google platziert hat. (ju)
