Google-Analytics-Faker gehen wieder um

Ominöser Domain-Eintrag
Bild 1 von 1

Ominöser Domain-Eintrag

 

In verschiedenen Web-Seiten ist ein Exploit-Kit entdeckt worden, das zur Tarnung vor Entdeckung durch oberflächliche Quelltextuntersuchung eine Domain verwendet, die stark an Google Analytics erinnert.

Online-Kriminelle benutzen gerne Web-Adressen mit Domains, die so ähnlich aussehen wie bekannte legitime Seite. Teilweise dienen sie in Form von Vertipper-Domains dazu Internet-Nutzern eine Falle zu stellen, zum Beispiel goggle.com statt google.com. Jetzt ist eine bereits seit 2008 bekannte und zwischenzeitlich verschwundene Domain wieder aufgetaucht, deren neue Eigner die Verbreitung von Malware im Sinn haben.

Das Internet Storm Center berichtet über eine Reihe von Websites, etwa auf Subdomains von salefale.com, die schädlichen Code in Iframes lädt. Die Iframes enthalten als Quelladressen URLs unter der Domain . Diese haben nichts mit Google Analytics zu tun, das unter google-analytics.com residiert. Der sehr ähnliche Domain-Name soll jedoch beim flüchtigen Blick in den HTML-Quelltext täuschen.

Die Domain google-analitics.net ist bereits seit 2008 von Online-Kriminellen benutzt worden. Die Registrierung ist offenbar im Dezember 2009 abgelaufen und eine neuer Besitzer nutzt sie nun wieder aktiv. Dessen Domain-Registrierung kann allerdings bestenfalls als dubios bezeichnet werden. Der Namenseintrag lautet auf "?????????" und als Land ist die Provinz "Taliban" in "AM" (Armenien) angegeben. Das wirft Fragen über die Seriosität so mancher Domain-Registrare auf.

PDF-Exploits schleusen Bot ein

Wer auf derart präparierte Seiten gerät, wird einer Kaskade von PDF-Exploits ausgesetzt. Das Exploit-Kit geht ältere und neuere Sicherheitslücken im Adobe Reader durch, bis es eine findet, die in der beim Besucher installierten Version noch nicht gestopft ist. Das reicht von der "collab.geticon"-Lücke bis zur neueren "media.newplayer"-Lücke aus den Dezember 2009. Aktuelle Versionen des Adobe Reader (9.3.1, 8.2.1) sind nicht anfällig für diese Angriffe.

Der Exploit-Code lädt im Erfolgsfall eine EXE-Datei auf den Rechner des Besuchers, die den PC zu einem Teil eines Botnet macht. Der Schädling zählt zur Großfamilie Zbot/ZeuS/Quakbot. Die Erkennung durch Antivirusprogramme weist noch einige Lücken auf, hat sich nach der Entdeckung jedoch bereits verbessert.

Antivirus Malware-Name
AntiVir TR/Agent.W.4116
Authentium W32/Zhelatin.K.gen!Eldorado
Avast ---
AVG ---
Bitdefender ---
CA-AV Win32/QakbotCryptor
ClamAV ---
Dr.Web ---
Eset Nod32 Win32/Kryptik.CUQ
Fortinet ---
F-Prot ---
F-Secure ---
G Data ---
Ikarus Packed.Win32.Krap
K7 Computing ---
Kaspersky Packed.Win32.Krap.w
McAfee --- (PWS-Zbot.gen.ab)*
McAfee Artemis Artemis!8658B02FB2A9
McAfee GW Edition Trojan.Agent.W.4116
Microsoft PWS:Win32/Zbot.gen!R [generic]
Norman ---
Panda ---
Panda (Online) suspicious
PC Tools ---
QuickHeal ---
Rising AV ---
Sophos Mal/Bredo-E
Spybot S&D ---
Sunbelt Trojan.Win32.Generic!BT
Symantec Trojan.Zbot
Trend Micro TROJ_QAKBOT.SMG
VBA32 ---
VirusBuster ---
Webroot Mal/Bredo-E

Quelle: AV-Test, Stand: 04.03.2010, 15:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

Quelle: In Zusammenarbeit mit www.pcwelt.de
Kommentare
Top-Themen
Bestimmte Nachrichten, die Sie über WhatsApp versendet haben, würden Sie am liebsten wieder rückgängig machen? Mit ...mehr
Am heutigen 21. Juni und dem morgigen 22. Juni findet wieder der alljährliche Amazon Prime Day statt. Auf diesem Weg ...mehr
Der Power-Knopf am iPhone ist defekt, aber Sie würden gerne Ihr Smartphone ausschalten? Nutzen Sie dazu einfach iOS, ...mehr
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.