Manipulierte Werbebanner drängen Anwendern Nörgel-Software auf

Immer häufiger schleicht sich sogenannte Nagware über manipulierte Werbebanner in Webseiten an den Nutzer heran und erschreckt Anwender. Auch heise online bekam am vergangenen Freitagabend ein solches Werbebanner untergeschoben.

In Pocket speichern vorlesen Druckansicht 357 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Immer öfter versuchen Software-Hersteller, mit so genannter Nörgel-Software (im englischen Nagware) ihre Produkte an den Mann zu bringen. Dabei wird ein Anwender in der Regel auf einer Webseite erst eingeschüchtert, um ihn dazu zu bewegen, sich eine Demoversion des Produkts zu installieren. Danach nörgelt die meist als Sicherheits- oder Systemrettungstool daherkommende Software aber mit zahlreichen Warnungen herum, das System sei unsicher, falsch konfiguriert oder sonstwie suboptimal eingestellt. Abhilfe bringe es nur, die kostenpflichtige Vollversion des Tools zu installieren.

Auf Nagware stößt der Anwender nicht nur auf dubiose Webseiten. Sie kann sich zum Beispiel über Links in Werbebannern auf bekannten Websites einschleichen. So Anfang 2007 bei Microsoft: Anwendern des Windows Live Messenger von Microsoft wurde Banner-Werbung für fragwürdige Software eingeblendet. Am Freitagabend hat es auch heise online getroffen: Ein nachträglich manipuliertes Werbebanner versuchte, Besuchern von heise online unerwünschte Software unterzuschieben. Einige Anwender bekamen dabei ein Fenster zu sehen, in dem ihnen ein System-Scan durch das vorgebliche Anti-Spyware-Programm "SysKontroller" vorgegaukelt wurde. Nutzer eines Virenscanners wurden vor dem Trojaner "Downloader.SWF.Gida.a" gewarnt.

Im Verlauf des simulierten Scans zeigte das Fenster mehrere unspezifische Warnungen an, die dem Nutzer wegen angeblich bevorstehender Datenverluste nahelegten, ein nachzuladenes Programm "setup_de.exe" zu installieren. Windows-Anwendern, die auf den "Weiter"-Button klickten, wurde nach einem weiteren Bestätigungsklick der SysKontroller auf dem PC installiert. In der Folge startete dieser bei jedem Booten und log dem Nutzer schwere Systemfehler und Datenverlust vor. Die angebotene Sofort-Reparieren-Funktion sollte nur mit der Bezahlversion möglich sein.

Nach bisherigen Erkenntnissen enthält SysKontroller sonst keine Schadfunktion und lässt sich über die Systemsteuerung wieder deinstallieren, allerdings nicht ganz rückstandsfrei. Der Rest lässt sich aber mit einem Virenscanner entfernen. SysKontroller wird unter anderem als Downloader.Win32.WinFixer.br erkannt. Einen kostenlosen Scanner gibt es beispielsweise von Avira unter http://www.free-av.de. Anwender, die nach der ersten SysKontroller-Meldung im Browser nichts weiter angeklickt haben, haben nichts zu befürchten, da sich die Nagware nicht selbsttätig installieren kann.

Nach Hinweisen von Lesern wurde das verursachende Banner gegen 1 Uhr nachts aus den Seiten von heise online entfernt. Nach bisherigen Analysen lud es ein Skript von den Seiten des Marketingdienstleisters traffalo.com nach, das wiederum ein Flash-Applet nachlud, welches mittels ActionScript weiteres JavaScript in die bestehende HTML-Seite einschleuste. Diverse Virenscanner erkannten bei diesem Versuch einen "Trojan-Downloader.SWF.Gida.a". Wieso das Skript nachträglich kompromittiert werden konnte, wird derzeit noch untersucht. Bei der initialen Prüfung des Werbebanners vor dem Einstellen auf heise online waren keine Unregelmäßigkeiten aufgetreten. Zudem wird untersucht, ob eine der zuletzt im Flash Player geschlossenen Sicherheitslücken bei dem Vorfall eine Rolle spielte.

heise online bedauert die Unannehmlichkeiten, die einigen Lesern entstanden sind, und bittet die Betroffenen um Entschuldigung. Aufgrund des Vorfalls sollen die Sicherheitskontrollen der von externen Servern zugelieferten Inhalte verschärft werden. (dab)