Gefährlicher Klick auf Werbung in Google (Update)

Als Evita.de-Preisvergleich getarnte Website installiert Trojaner. Wer in der beliebten Suchmaschine Google das Stichwort Preisvergleich eingibt, könnte Opfer eines Trojanischen Pferdes werden: Die rechts neben den Suchergebnissen eingeblendete, zum Suchbegriff passende Werbung enthält derzeit auch einen Link auf eine böswillige Website, die Internet-Explorer-Nutzer sofort mit der automatischen Installation eines Trojaners "beglücken" will.

31. Dezember 2004 um 14:57 Uhr / Christian Klaß

Kommentare News folgen (öffnet im neuen Fenster)

Hinter der falschen Werbung mit Überschrift "Kaufen", die mit "Sicher einkaufen mit Preisvergleich" und "Ueber 3,5 Mio Angebote & 500 Shops" wirbt, steckt nicht etwa der erwartete Link www.evita.de/onlineshopping, sondern eine ganz andere Website. Statt eines Preisvergleichs oder des Einkaufsportals Evita.de landet man auf einer Website, die erst von einer einsamen Frau namens Anke erzählte und mittlerweile eine gefälschte Error-404-Meldung liefert. Sofort bei Besuch der Website versucht im Hintergrund ein Script eine altbekannte Sicherheitslücke (IFrame-Pufferüberlauf) im Internet Explorer auszunutzen und einen Trojaner zu installieren. Wer allerdings das Service Pack 2 von Windows XP bzw. auf anderen Windows-Systemen die aktuellen Patches eingespielt hat, für den dürfte der Angriffsversuch keine Schrecken bergen.

Auf Grund des gefälschten Links ist es nicht gleich ersichtlich, ob hinter einer Werbung auf der Google-Seite ein Angreifer lauert. Die Schaltung von Werbung auf Google ist relativ problemlos möglich, es müssen im Grunde nur eine Kreditkartennummer und Schlüsselworte wie eben "Preisvergleich" angegeben werden. Insofern hätten es Angreifer mit gestohlenen Nummern leicht, beliebige Werbung einzustellen. Nur Links auf Pornoseiten sind bei Google unerwünscht, die Seite, auf welche die Trojaner-Werbung verweist, scheint hingegen neu und noch nicht von Google gesperrt zu sein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Strategiemanagerinnen bzw. IT-Strategiemanager (w/m/d) Bundesamt für Wirtschaft und Ausfuhrkontrolle, Eschborn (öffnet im neuen Fenster)

(Senior) Backend Developer (m/w/d) ACE Auto Club Europa e.V., Stuttgart (öffnet im neuen Fenster)

Junior IT-Administrator:in (m/w/d) Rheinland Kultur GmbH, Pulheim (öffnet im neuen Fenster)

Kundenbetreuer (m/w/d) im technischen Anwendungssupport für unsere Softwarelösung im Bereich eVergabe Staatsanzeiger für Baden-Württemberg GmbH & Co. KG, Stuttgart (öffnet im neuen Fenster)

IT Application Manager (m/w/d) Fachverfahren Gesundheit Hannoversche Informationstechnologien AöR (hannIT), Hannover (öffnet im neuen Fenster)

IT-Trainees Informatik/Wirtschaftsinformatik Deutsche Bundesbank, Frankfurt (öffnet im neuen Fenster)

Product Owner SaaS (m/w/d) HOCHTIEF PPP Solutions GmbH, Würzburg,Essen (öffnet im neuen Fenster)

Sales Lead (m/w/d) HOCHTIEF PPP Solutions GmbH, Essen (öffnet im neuen Fenster)

Wieder einmal zeigt sich, wie wichtig das Einspielen von Sicherheits-Updates ist und wie wichtig es ist, dass Browser den echten Link kenntlich machen und nicht nur den Link-Text.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Endlich Patch gegen IFRAME-Loch im Internet Explorer 6.0

Microsoft verlegt Patch-Day für den Dezember 2004 vor. Nach fast genau einem Monat hat Microsoft überraschend außerplanmäßig einen Patch für die IFRAME-Sicherheitslücke im Internet Explorer veröffentlicht. Seit nunmehr drei Wochen nutzt der Bofra-Wurm dieses Sicherheitsleck aus und Ende November 2004 wurde dieser Wurm sogar über zahlreiche seriöse Webseiten verbreitet. Das IFRAME-Sicherheitsloch gestattet Angreifern eine umfassende Kontrolle über fremde Systeme.

Zahlreiche seriöse Webseiten verbreiteten Wurm-Code (Update)

Immer noch kein Patch für den Internet Explorer 6.0 erschienen. Etliche seriöse Webseiten haben seit dem Wochenende den als MyDoom.AI respektive Bofra bezeichneten Wurm verbreitet, der sich über Ad-Server in die Seiten eingeschleust hatte und so Systeme infizierte, wenn die betreffenden Seiten mit dem aktuellen Internet Explorer 6.0 besucht wurden. Der für die Wurm-Verbreitung verantwortliche Ad-Server von Falk wurde anscheinend von Hackern gehackt.

Relevante Themen