Verseuchte Web-Werbung

Cyberkriminelle lieben falsche Antiviren-Software

Sogenannte Fake-AV-Software, die User mit gefälschten Virenwarnungen zum Kauf eigentlich nutzloser Antiviren-Tools animieren will, ist auf dem Vormarsch. Google-Experten haben in einer Analyse festgestellt, dass bereits 15 Prozent aller Malware-Seiten im Web mit den Sicherheitsängsten der Nutzer spielen.

Noch ausgeprägter ist der Trend demnach bei Malware-verseuchter Web-Werbung. Hier liefert bereits die Hälfte falsche Antiviren-Software aus. Für Ralf Benzmüller, Leiter der G Data SecurityLabs, ist diese Entwicklung nicht überraschend. ?Fake-AV ist letztendlich ein Geschäftsmodell in einem rechtlichen Graubereich, bei dem das ergaunerte Geld nicht erst gewaschen werde muss?, erklärt er im Gespräch mit pressetext. Das mache den Trick für Cyberkriminelle besonders attraktiv.

Der Fake-AV-Ansatz ist einfach. Durch infizierte Webseiten oder Werbebanner wird einem User eine gefälschte Virenwarnung angezeigt, die ihn zum Kauf eigentlich nutzloser, falscher AV-Software bewegen soll. Dieser Trick ist Google erstmals im März 2007 untergekommen, so der Sicherheitsexperte Niels Provos im Google Online Security Blog. In den vergangenen 13 Monaten habe man nun analysiert, wie verbreitet diese Form der Bedrohung ist.

Bei verseuchter Werbung hat sich die Nutzung des Tricks demnach innerhalb nur eines Jahres verfünffacht, sodass nun schon die Hälfte der infizierten Web-Anzeigen Fake-AV-Software liefern. Bei Malware-Domains, die auf aktuell im Trend liegende Suchbegriffe setzen, betrage der Anteil der Fake-AV-Attacken sogar schon 60 Prozent. Insgesamt sind die Google-Experten bei der Analyse auf mehr als 11.000 Domains gestoßen, die Fake-AV-Software vertrieben, was fast ein Sechstel aller gefundenen Malware-Domains war.

Für User sollte vor allem das unerwartete Auftauchen einer Virenwarnung ein Warnsignal sein. ?So eine Marketingmaßnahme würde schließlich kein seriöser AV-Anbieter nutzen?, betont Benzmüller. Im Zweifelsfall rät er außerdem, die angebliche AV-Software bei Virus Bulletin oder in Tests bekannter Computerzeitschriften zu suchen. Denn wenngleich immer mehr etablierte Anbieter auch Online-Scanner anbieten, gibt es nur selten wirklich neue Namen auf dem Markt. Entsprechend skeptisch sollte man sein, wenn ein völlig unbekanntes angebliches AV-Produkt angepriesen wird.

Genauere Details zu ihrer Analyse werden Provos und Kollegen Ende April im Rahmen des 3rd USENIX Workshop on Large-Scale Exploits and Emergent Threats präsentieren. Die Cyberkriminellen scheinen indes das Prinzip hinter dem Fake-AV-Trick auch neu zu verpacken. Erst Anfang dieser Woche hatte F-Secure vor einer Attacke gewarnt, die ebenfalls auf das Verunsichern des Users setzt, dabei aber mit Filesharing-Klagen droht. (pte/hal)