Wie die Sicherheitsspezialisten von F-Secure in ihrem Blog schreiben, hat der Staatsanwalt der Vereinigten Staaten (US Attorney) das Schweizer Bankkonto zweier Online-Krimineller eingefroren. Höhe des Kontostands: 14,8 Millionen US-Dollar, rund 10 Millionen Euro. Die Kontoinhaber – ein Inder und ein Schwede – sind flüchtig und werden von Interpol per Haftbefehl (Eintrag zu Sam Jain, Eintrag zu Björn Daniel Sundin) gesucht.

Die beiden gehörten zum Führungskreis von Innovative Marketing (IMU). Also dem in der Ukraine gegründeten Unternehmen, dessen gefälschte Antivirensoftware (Rogue AV) einige Zeit lang die mit Abstand meisten PCs weltweit infiziert hat. Bei der Jagd nach den Machern von IMU hat der deutsche Sicherheitsexperte Dirk Kollberg seinerzeit ermittelt, dass mehr als vier Millionen Anwender binnen einiger Monate im Jahr 2008 Geld an Innovative Marketing bezahlte, um die vermeintliche Schutzsoftware freizuschalten. Insgesamt flossen nur allein in diesem Zeitraum 180 Millionen US-Dollar auf die Konten des Unternehmens, das zu Hochzeiten einige hundert Mitarbeiter beschäftigte.

Ende 2008 begann dann die amerikanische FTC (Federal Trade Comission) offiziell mit der Jagd auf Innovative Markting und dessen Führungsriege. In der Folge gab es diverse Gerichtsurteile und Beschlagnahmen. Im Urteil vom 04. März 2010 werden die ehemaligen Macher der Scareware-Firma zur Zahlung von über 160 Millionen US-Dollar verurteilt. Gerüchten zufolge sollen etliche der Mitarbeiter unter einem anderen Firmennamen weiterhin im Geschäft mit der gefälschten Sicherheitssoftware sein.

Wie präsent Scareware ist, belegt unter anderem der jüngste Microsoft SIR v10 (Security Intelligence Report 10), der auch in einer deutschen Version zum Download bereit steht. Laut dieser Studie wurden im Jahr 2010 weltweit knapp 19 Millionen PCs von Scareware befreit. Bei einem angenommenen Durchschnittspreis von 40 Euro pro entferntem Schädling ergäbe das einen Umsatz von 790 Millionen Euro. Wobei die Hintermänner der verschiedenen Scareware-Familien, die im Report erfasst sind, sicherlich etwas weniger eingenommen haben. Denn nicht jeder entfernte Schädling bedeutet, dass die Scareware auch bezahlt wurde.

Die US-Kollegen haben ein Video erstellt, in dem die Infektion mit der Ende 2010 am zweithäufigsten von PCs entfernten Rogue AV FakePAV Trojan gezeigt wird.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.