.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

So verdient der Untergrund mit Scareware

So verdient der Untergrund mit Scareware

  • Comments 1
  • Likes

Der amerikanische Sicherheitsspezialist Brian Krebs liefert in seinem Blog eine interessante Analyse, welche Umsätze durch das Verteilen von Scareware (auch Rogue Antivirus-Software genannt) möglich sind. Laut Krebs bekommen die Betreiber der Seiten, die die Scareware-Installer verteilen, zirka einen US-Dollar pro erfolgreicher Installation. Manche „Filialen“ von avprofits.com, einer der größten Verteiler von Rogue Antivirus-Software, bringen es laut Blog-Eintrag auf über 1000 Installationen pro Tag.

In aller Regel werden die Installer laut Krebs über Porno-Webseiten oder zusammen mit raubkopierter Software verteilt. In letzterem Fall wird die Scareware einfach mit installiert. Einmal aktiv, warnt die gefälschte Antiviren-Software den PC-Besitzer durch ständig neue Pop-up-Fenster vor vermeintlichen Malware-Infektionen. Gleichzeitig verweisen die Fenster auf eine kostenpflichtige Antiviren-Software – die natürlich wirkungslos ist, da der PC ja bislang nicht infiziert wurde – die den verseuchten Computer wieder reinigen soll.

Eine andere Verteilungsmöglichkeit ist die Nutzung von Schwachstellen in beliebten Webseiten. In meinem Artikel Aktueller Angriff gegen Wordpress, Joomla und Co. beschrieb ich eine vor einem Monat rollende Angriffswelle gegen PHP-basierende Webseiten auf Linux. Es handelt sich dabei nicht um einen isolierten Vorfall. Derartige Angriffe laufen permanent - auch gegen ASP.Net-basierende Webseiten auf Windows. Die Kriminellen versuchen dabei regelmäßig, vom Anwender falsch gesetzte Berechtigungen (755 oder 777 bei Linux) auf dem Webserver, schwache oder durch Desktop Malware oder Keylogger ausgelesene Kennworte, SQL-Injection, falsche Systemkonfigurationen bei Webhostern, etc. auszunutzen. Hier einige Beispiele aus den letzten Wochen von Sucuri Security und WPSecurityLock:

Ich bin bei der Suche nach einem Prozessorupgrade für meinen Homeserver auf eine derartige Scareware gestoßen und habe das Verhalten einmal protokolliert. Im Video unten (Download hier möglich) sieht man, wie ich nach einer Google-Suche auf die Webseite homeservershow.com gehen möchte. Bei dieser Webseite handelt es sich um eine reguläre Webseite von Home Server Fans, die Anfang Mai kompromittiert wurde und ein Scareware-Script enthielt. Besucher bekamen die Scareware nur angezeigt, wenn sie über die Google Ergebnisseite auf homeservershow.com gingen. Damit versuchen die Kriminellen den Administratoren oder regulären Nutzern der Webseite das Bemerken der Manipulation zu erschweren, da diese meist über den direkten Aufruf ihre Webseite besuchen und das Script dann nicht ausgeführt wird.

Das Script prüfte auf den Referrer und setzte gleichzeitig einen Cookie, damit jeder Besucher die Scareware nur einmal angezeigt bekommt. Versucht man den Weg ein zweites Mal zu gehen, versteckt sie sich und man bekommt homeservershow.com ganz normal angezeigt. Das Script prüft weiterhin anhand des Useragents, ob es sich bei dem Besucher um einen Webcrawler von Google oder Yahoo handelt. Es verbirgt sich vor diesen, damit die Webseite nicht im Suchindex gesperrt oder durch Malwarefilter in Webbrowsern geblockt wird.

Die Scareware versucht dann auf vielfältige Art und Weise den Besucher dazu zu bringen, die angebotene Datei – welche natürlich Malware enthält – herunterzuladen und zu installieren. Ganz wichtig an dieser Stelle: Es wird in der Regel gar nicht mehr versucht, eine Schwachstelle auf dem Clientcomputer auszunutzen. Der Angriff zielt in der Regel auf die Schwachstelle vor dem Computer ab: Den Anwender.

Was im Video natürlich auffällt, ist die Tatsache, dass die Scareware in diesem Beispiel Windows XP simuliert. Sowas passt nicht zu einem Windows 7-basierenden Rechner. Allerdings habe ich derartige Scareware auch schon Windows 7 simulieren sehen und es wird nur eine Frage der Zeit sein, dass die Scareware-Programmierer aus dem Useragent auch das Betriebssystem auslesen und sich an Windows XP, Windows 7 oder Mac OS X automatisch anpassen.

Wie Krebs weiter ausführt, wird Opfern aber nicht nur die Scareware auf den Rechner geschickt, sondern allzu oft auch die Malware Zeus. Zeus, oder auch Zbot genannt, gehört zu den Passwortdieben unter den Trojanern. Die Scareware-Opfer werden also nicht nur um den Betrag für die nutzlose Antivirensoftware gebracht, sondern von nun an auch noch belauscht. Dem Blog von Brian Krebs zufolge erkannten nur 16 von 42 legitimen Virenscannern, dass der zu installierende Mix aus Scareware und Zeus gefährlich ist.

Die niedrige Erkennungsrate erklärt die hohe Erfolgsquote des Scareware-Installers: Rund vier Prozent derer, denen das Paket auf den Rechner geschickt wird, kaufen anschließend die gefälschte Antiviren-Software. Auch in diesem Fall kassieren die Verteiler der Schadsoftware eine Provision – und erhöhen ihren Umsatz auf 1650 Dollar an guten Tagen.

(Quelle: Microsoft Sicherheits-Newsletter)

Format: wmv
Duration:

Comments
  • In meinem Artikel So verdient der Untergrund mit Scareware hatte ich vor knapp einem Jahr gezeigt, wie Kriminelle versuchen, ahnungslosen Internetnutzern über Suchanfragen via Google oder Yahoo auf infizierten Webseiten Malware unterzujubeln. Derartige Software wird auch Scareware genannt: Bei Scareware handelt es sich um Software, welche darauf ausgelegt ist, Computerbenutzer zu verunsichern oder zu verängstigen. Der Begriff ist ein englisches Kofferwort aus scare (Schrecken) und Software. Es handelt sich um eine automatisierte Form des Social Engineering . Fällt das Opfer auf den Trick herein und glaubt sich bedroht, so wird ihm häufig gegen Bezahlung eine Beseitigung der nicht vorhandenen Gefahr angeboten. In anderen Fällen soll das Opfer durch den Glauben an einen erfolgreichen Angriff zu Handlungen verleitet werden, welche den tatsächlichen Angriff erst ermöglichen. Video herunterladen: MP4-Format Die Scareware simulierte zwar Windows XP, aber ich wies schon damals darauf hin, dass es nur eine Frage der Zeit sei, bis die Scareware-Programmierer auch das Betriebssystem auslesen und sich automatisch an Windows XP, Windows 7 oder Mac OS X anpassen. Et voilà – hier ein Screenshot von der Variante für Apple Mac OS X: Die Simulation von Infektionen im Browser sind an sich noch harmlos. Wer sich allerdings davon beeindrucken und die angebotene “Sicherheitssoftware” als Lösung installiert, verseucht damit seinen Rechner. Scareware nachträglich wieder loszuwerden, ist verdammt schwierig bis nahezu unmöglich. Da man ihr freiwillig administrative Rechte gegeben hat, kann man nicht sicher sein, ob man wirklich alle Veränderungen, die die Scareware auf dem Computer angerichtet hat, erfolgreich rückgängig machen kann. Ich empfehle das Formatieren des Rechners und die Wiederherstellung von einem früheren Backup oder ein Neuaufsetzen des Computers. Siehe dazu auch Help: I Got Hacked. Now What Do I Do? Have fun! Daniel

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment