Original-URL des Artikels: https://www.golem.de/0412/35414.html    Veröffentlicht: 31.12.2004 14:57    Kurz-URL: https://glm.io/35414

Gefährlicher Klick auf Werbung in Google (Update)

Als Evita.de-Preisvergleich getarnte Website installiert Trojaner

Wer in der beliebten Suchmaschine Google das Stichwort Preisvergleich eingibt, könnte Opfer eines Trojanischen Pferdes werden: Die rechts neben den Suchergebnissen eingeblendete, zum Suchbegriff passende Werbung enthält derzeit auch einen Link auf eine böswillige Website, die Internet-Explorer-Nutzer sofort mit der automatischen Installation eines Trojaners "beglücken" will.

Hinter der falschen Werbung mit Überschrift "Kaufen", die mit "Sicher einkaufen mit Preisvergleich" und "Ueber 3,5 Mio Angebote & 500 Shops" wirbt, steckt nicht etwa der erwartete Link www.evita.de/onlineshopping, sondern eine ganz andere Website. Statt eines Preisvergleichs oder des Einkaufsportals Evita.de landet man auf einer Website, die erst von einer einsamen Frau namens Anke erzählte und mittlerweile eine gefälschte Error-404-Meldung liefert. Sofort bei Besuch der Website versucht im Hintergrund ein Script eine altbekannte Sicherheitslücke (IFrame-Pufferüberlauf) im Internet Explorer auszunutzen und einen Trojaner zu installieren. Wer allerdings das Service Pack 2 von Windows XP bzw. auf anderen Windows-Systemen die aktuellen Patches eingespielt hat, für den dürfte der Angriffsversuch keine Schrecken bergen.

Gefährliche Werbung
Gefährliche Werbung
Auf Grund des gefälschten Links ist es nicht gleich ersichtlich, ob hinter einer Werbung auf der Google-Seite ein Angreifer lauert. Die Schaltung von Werbung auf Google ist relativ problemlos möglich, es müssen im Grunde nur eine Kreditkartennummer und Schlüsselworte wie eben "Preisvergleich" angegeben werden. Insofern hätten es Angreifer mit gestohlenen Nummern leicht, beliebige Werbung einzustellen. Nur Links auf Pornoseiten sind bei Google unerwünscht, die Seite, auf welche die Trojaner-Werbung verweist, scheint hingegen neu und noch nicht von Google gesperrt zu sein.

Wieder einmal zeigt sich, wie wichtig das Einspielen von Sicherheits-Updates ist und wie wichtig es ist, dass Browser den echten Link kenntlich machen und nicht nur den Link-Text.  (ck)


Verwandte Artikel:
Smominru: Riesiges Botnetz missbraucht Windows-Server für Kryptomining   
(05.02.2018, https://glm.io/132595 )
Endlich Patch gegen IFRAME-Loch im Internet Explorer 6.0   
(02.12.2004, https://glm.io/34978 )
Zahlreiche seriöse Webseiten verbreiteten Wurm-Code (Update)   
(22.11.2004, https://glm.io/34807 )
Antivirus: Windows-Defender soll Scareware automatisch entfernen   
(01.02.2018, https://glm.io/132526 )
Security: Malware mit legitimen Zertifikaten weit verbreitet   
(07.11.2017, https://glm.io/130997 )

© 1997–2019 Golem.de, https://www.golem.de/