Schadcode auf gefälschter Wikipedia-Webseite (Update 3)

Die in deutscher Sprache gehaltenen Spam-Botschaften weisen Absenderadressen auf, die eindeutig nicht von der Wikipedia stammen, so dass aufmerksame Nutzer diese Botschaften leicht als Spam erkennen können. Der Nachrichtentext berichtet dann von dem Blaster-Wurm und behauptet, dieser sei derzeit besonders aktiv. Es wird empfohlen, entsprechende Windows-Patches herunterzuladen und zu installieren.

Die nachgemachte Wikipedia-Seite ähnelt in Design und Aufbau der deutschen Wikipedia-Präsenz, ist aber unter einer nicht zur Wikimedia gehörenden Domain zu erreichen. Derzeit versucht die Wikimedia, in Besitz der Domain www.wikipedia-download.org zu gelangen, um das Angebot abschalten zu können und weiteren Schaden abzuwenden, sagte das Wikimedia-Presse-Team gegenüber Golem.de.

Auf der nachgemachten Wikipedia-Webseite wird frech behauptet, dass Microsofts Server die benötigten Patches zur Abhilfe nicht bereitstellen könnten, weil die Server-Last zu groß sei und die Wikipedia die Dateien daher direkt als Download anbietet. Die nachgemachte Webseite verwies in einer frühen Version auf eine Grafik auf den Servern der Wikipedia, so dass diese Grafik von den Wikipedia-Machern ausgetauscht werden konnte. Besucher der gefälschten Webseite sahen somit sofort, dass es sich bei der aufgerufenen Seite nicht um ein Angebot der Wikipedia handelt. Mittlerweile wurden die Grafik-Verlinkungen von den Spam-Versendern durch lokale Grafiken ersetzt. Seitdem ist allerdings das gesamte Layout der Seite zerhauen, so dass aufmerksame Internetnutzer merken, dass damit etwas nicht stimmt.

Bereits in der vergangenen Woche machte eine ähnliche Spam-E-Mail die Runde, die sich aber nach Beobachtung von Golem.de weniger stark verbreitet hat als die neue Variante. In der ersten Version verwies die Spam-Botschaft direkt auf eine Webseite der Wikipedia, die bereits kurz nach Einstellung wieder korrigiert wurde, aber im Archiv als alte Version weiterhin erreichbar war. Diesen Umstand haben sich die Spam-Versender zu Nutze gemacht und direkt auf die verunstaltete, nicht mehr aktuelle Artikelversion verlinkt.

Kurze Zeit später wurde diese Verlaufsansicht von den Wikipedia-Machern komplett gelöscht, so dass Empfänger dieser Spam-Botschaften vor dem Download dieser Dateien abgehalten wurden. Noch ist unklar, ob die zu ladenden Dateien Schadcode enthalten oder welche Aufgabe diese Dateien haben. Tests mit verschiedenen Virenscannern hätten keine Treffer gezeigt, erklärte das Wikimedia-Presse-Team.

Nachtrag vom 7. November 2006 um 18:15 Uhr:
Die Seite wikipedia-download.org zeigt derzeit keine Inhalte mehr an. Der DNS löst inzwischen nicht mehr nach Russland auf, sondern zum DNS-Registrar eNom. Die Wikimedia Foundation ist laut eigenen Angaben weiterhin nicht der Inhaber der Seite, so dass noch einiges passieren kann. "Fürs Erste ist aber auch dieser zweite Angriff gebannt", so das Wikimedia-Presse-Team gegenüber Golem.de.

Nachtrag vom 8. November 2006 um 14:25 Uhr:
Mittlerweile ist die Seite wikipedia-download.org wieder erreichbar. Allerdings blendet die Seite wie bei der ersten Fassung vom gestrigen 7. November 2006 eine Grafik von den Wikipedia-Servern ein. Dies erlaubt den Wikipedia-Macher, statt des Wikipedia-Logos eine beliebige Grafik einzubinden. In dem Fall prangt an der Stelle des Logos ein deutlicher Hinweis, dass es sich um keine Wikipedia-Seite handelt und darüber Schadcode verbreitet wird.

Nachtrag vom 8. November 2006 um 15:43 Uhr:
Per Blog haben die Virenjäger von F-Secure über diesen Fall berichtet. Nach deren Aussage handelt es sich bei den auf wikipedia-download.org hinterlegten Dateien um ein Trojanisches Pferd. Damit steht nun fest, was für eine Art Schädling sich hinter den Dateien verbirgt.