Homepage-Räuber aus dem Reklame-Dschungel

Das Center for Democracy and Technology (CDT) berichtet über einen Filz von Werbevermarktern, die mit Software-Trojanern für ihren Spyware-Killer werben. Nach Rechercheergebnissen des CDT hat die Firma Seismic Entertainment, unter diesem Namen wohlweislich nicht im Web präsent, eine neue Variante zum Abzocken Spyware-verunsicherter Surfer entwickelt. Weil sich Seismic Entertainment dabei ausschließlich über Werbebanner Geltung verschafft, müssen die Opfer keinerlei Programme bewusst aus dem Internet laden, um dem Angriff anheim zu fallen.

Auf diversen Webseiten verbreitet das Unternehmen unverdächtige Werbeanzeigen, die neben dem bezahlten Reklameinhalt auch ausführbaren Javascript-Code enthalten. Dieser holt zeitlich verzögert weitere Werbung auf den Rechner und vermittelt dem genervten Anwender die Popup-Empfehlung, er möge sich einen Spywarekiller, am besten das kommerzielle Seismic-Produkt Spy Wiper, zusammen mit dem E-Mail-Filter Mail Wiper herunterladen.

Nebenbei öffnet die Reklame-Armada Popup-Fenster mit dem Angebot, als neue Browser-Homepage eine Webseite des default-homepage-network umzuleiten. Selbst wer dieses Fenster sofort schließt und alle zugehörigen Erlaubnis-Anfragen mit "No" beantwortet, bekommt nach CDTs Beobachtungen die neue Homepage verpasst, und mit weiteren elf Minuten Verzögerung läuft eine Kaskade von heimlichen Web-Aufrufen, dadurch angestoßenen CGI-Skripten und ActiveX-Controls ab, welche die unerwünschte Browser-Homepage zusammen mit weiteren Schmarotzern in der Windows-Registry des "umworbenen" Surfers verankern. Zur weiteren Verwirrung der Reklameopfer scheinen die böswilligen HTML-Dateien in der Aktionskette zudem oft leer zu sein, weil die Programmierer ihre Javascript-Routinen mit Unicode-Zeichensätzen kodiert haben, die im Browser mit etwas Glück unsichtbar bleiben.

Das CDT hat seine Erkenntnisse in einem 24-seitigen PDF-Dokument zusammengefasst und dieses als Beschwerdeschrift und Untersuchungsantrag an die amerikanische Gewerbeaufsicht FTC eingereicht. In dem Schreiben wird außerdem dargelegt, dass die Drahtzieher bei Seismic Entertainment die Verantwortung für die beklagten Werbepraktiken zwischen zahllosen, vorgeblich unabhängigen Website-Betreibern hin- und herschieben. Tatsächlich gibt es neben dem CDT-Bericht auch anderweitige, detaillierte Erfahrungsberichte über die Verfilzung von Websites wie default-homepage-network.com, odysseusmarketing.com, passthison.com und weitere.

Auch wenn als einziger Browser der Internet Explorer verwundbar durch die beschriebenen Aktivitäten zu sein scheint: Um gegen derartige Machenschaften gewappnet zu sein, sollten dessen Anwender eine restriktive Einstellung gegenüber ActiveX-Controls wählen; Browser-unabhängig empfiehlt sich darüber hinaus ein Spyware-Schutz, der seinen Namen verdient, etwa Spybot Search&Destroy, Ad-aware oder PestPatrol. (hps)