Online-Routenplaner und -Telefonbuch verbiegen Browser-Startseite [Update]

Die Suche nach der richtigen Route im Internet führt unter Umständen zu einer verbogenen Startseite im Browser, statt zum gewollten Ziel. Die Betreiber der Domänen route24.de und routenplaner-kostenlos.com bieten auf ihren Seiten zwar ein Formular zur Eingabe eines Startorts und Zielorts an, nach dem Abschicken der Daten bekommt der Anwender jedoch die Datei route.exe zum Download angeboten. Diese verspricht eine Route-Beschreibung zu enthalten ("Ihre Route steht jetzt als Download zur Verfügung"), der Start der Datei bewirkt aber nur, dass man künftig beim Öffnen des Internet Explorers oder des Firefox als Erstes die Seite www.einfachstarten.de zu Gesicht bekommt. Vermutlich dürfte es sich bei den Verbiegeversuchen darum handeln, über Googles AdSense-Programm Einkünfte zu erzielen.

Eine echte Schadroutine hat die Datei nicht, trotzdem stufen die Virenscanner von Avira, Avast, AVG, F-Secure, Ikarus, Kaspersky, Norman und Panda die offenbar seit Juli des vergangenen Jahres verteilte Datei als potenziell schädlich ein. Immerhin arbeitet route.exe im klassischen Sinn wie ein Trojanisches Pferd. Interessanterweise hat Symantec eine nähere Beschreibung des Verbiegers in seinem Fundus und nennt ihn Trojan.Firpage. Beim Test mit VirusTotal erkannte Symantec aber nichts. Auch McAfee warnte nicht vor dem Schädling. Der SiteAdvisor von McAfee gab beim Besuch von route24.de sogar grünes Licht, obwohl es in den Site-Details immerhin einen Kommentar gibt, der auf die dubiose Aktivität der Seite hinweist – inklusive eines Links zu Symantecs Beschreibung.

Bereits Mitte Januar versuchten die Inhaber der besagten Domains den gleichen Trick mit der Adresse www.telephonbuch.de, auf der eine telefondaten_anzeigen.exe bei der Suche nach Nummern helfen sollte. Auch diese Datei verbog die Startseite im Browser. Auf Nachfrage von heise Security gab der Inhaber von routenplaner-kostenlos.com Arne K. unumwunden zu, dass das Ziel der Seite sei, die Browser-Startseite der Besucher zu verändern, um eine eigene Suchseite bekannt zu machen. Diese könne ja bei Nichtgefallen jederzeit über die Internetoptionen wieder zurückgestellt werden. Derzeit diene die Software auch zum Zählen von Downloads. Man habe die Software bereits umfangreich prüfen lassen, und bisher seien noch keine Bedenken dazu bekannt geworden. Später solle die Software eine Routenplanung ausgeben. Allerdings habe man sich nun entschlossen, alle Software-Downloads zu entfernen, die noch nicht vollständig fertiggestellt sind. Derzeit bieten die Seiten keine Dateien mehr zum Download an.

Allerdings betreiben Arne K. und der Inhaber von route24.de Frank B. noch diverse andere Präsenzen, die Browser-Startseiten verbiegen. Dazu gehört unter anderem die "Online-Wahrsager-Seite" www.wiegehts.de, die wohl für die Suchseite von Arne K. www.schnellstarten.de werben soll.

Update
Auf Nachfrage von heise Security hat Arne K. nun auch die Domäne www.wiegehts.de auf eine harmlose Seite umgelenkt. (dab)