Neue Infektionsmethode leitet über Security-Blogs auf Malware-Seiten um

Posting von Content, der wie ein News-Text aussieht, ist ein Versuch, Google zu täuschen

(06.02.08) - Aladdin hat eine neue Malware-Infektionsmethode aufgespürt. Dabei werden Web-Surfer, die sich in einem Security-Blog über Sicherheit informieren wollen, auf beliebige Porno- oder andere unerwünschte Websites umgeleitet, wo sie mit Malware infiziert werden.

In den meisten Fällen wird der Besucher automatisch von der Blog-Seite zu einer per Zufalls-generator ausgewählten pornographischen Website weitergeleitet und in einigen Fällen auch zu gefälschten Security Sites (Websites, die gefälschte Sicherheitsapplikationen anbieten und sofort eine Infektion mit Spyware oder Trojanern verursachen).

Blogger.com, ein Unternehmen von Google, ist der beliebteste frei zugängliche Blog mit Tools für das Anlegen und Hosting von Blogs. Die Erstellung und Editierung von Blogs auf Blogger.com ist sehr einfach. So kann sich jeder Benutzer für einen Account anmelden, ein Template für die Gestaltung seines Blog auswählen und dieser wird innerhalb von wenigen Minuten aktiviert. Blogger ermöglicht seinen Anwendern, Seitenelemente durch Verschieben und Klicken zu gestalten. Malware-Verbreiter nutzen dieses Feature, um schädliche Scripts innerhalb von Scam-gefüllten Blogs zu verpflanzen, die ein "Opfer" zu einer Vielfalt von Websites umleiten, die verschiedene Malware-Arten beherbergen.

Aladdin ist auf einen Blog auf Blogger.com aufmerksam geworden, auf dem sich überraschender-weise der Einleitungstext einer News-Meldung von 2006, ursprünglich auf Aladdin.com veröffentlicht, vorfand. Der Besuch dieses Blogs aktiviert einen schädlichen JavaScript, der das "Opfer" zu einer Vielfalt schädlicher Websites umleitet, von der verschiedene Arten von Malware - einschließlich Trojanern, Backdoors, gefälschten Applikationen etc. - verbreitet werden.

Das Posting von Content, der wie ein News-Text aussieht, ist ein Versuch, Google zu täuschen. Ziel ist es dabei, dass Google die vermeintliche News in den Suchmaschinen-Links möglichst weit oben einordnet.

1. Blog mit Hosting auf Google - Links zu sicherheitsrelevanten Themen

2. Automatische Umleitung zu einer Zufallsseite

3. Diese Website ist zu 90 Prozent pornographischer Art oder beinhaltet gefälschte Sicherheitsapplikationen.

4. Die Website enthält Exploits für die Infizierung mit Trojanern

5. So gut wie nicht identifizierbar von den meisten Anti-Virus-Anbietern

(Aladdin: ra)