Online-Kriminelle benutzen gerne Web-Adressen mit Domains, die so ähnlich aussehen wie bekannte legitime Seite. Teilweise dienen sie in Form von Vertipper-Domains dazu Internet-Nutzern eine Falle zu stellen, zum Beispiel goggle.com statt google.com. Jetzt ist eine bereits seit 2008 bekannte und zwischenzeitlich verschwundene Domain wieder aufgetaucht, deren neue Eigner die Verbreitung von Malware im Sinn haben.
Das Internet Storm Center berichtet über eine Reihe von Websites, etwa auf Subdomains von salefale.com, die schädlichen Code in Iframes lädt. Die Iframes enthalten als Quelladressen URLs unter der Domain . Diese haben nichts mit Google Analytics zu tun, das unter google-analytics.com residiert. Der sehr ähnliche Domain-Name soll jedoch beim flüchtigen Blick in den HTML-Quelltext täuschen.
Die Domain google-analitics.net ist bereits seit 2008 von Online-Kriminellen benutzt worden. Die Registrierung ist offenbar im Dezember 2009 abgelaufen und eine neuer Besitzer nutzt sie nun wieder aktiv. Dessen Domain-Registrierung kann allerdings bestenfalls als dubios bezeichnet werden. Der Namenseintrag lautet auf "?????????" und als Land ist die Provinz "Taliban" in "AM" (Armenien) angegeben. Das wirft Fragen über die Seriosität so mancher Domain-Registrare auf.
PDF-Exploits schleusen Bot ein
Wer auf derart präparierte Seiten gerät, wird einer Kaskade von PDF-Exploits ausgesetzt. Das Exploit-Kit geht ältere und neuere Sicherheitslücken im Adobe Reader durch, bis es eine findet, die in der beim Besucher installierten Version noch nicht gestopft ist. Das reicht von der "collab.geticon"-Lücke bis zur neueren "media.newplayer"-Lücke aus den Dezember 2009. Aktuelle Versionen des Adobe Reader (9.3.1, 8.2.1) sind nicht anfällig für diese Angriffe.
Der Exploit-Code lädt im Erfolgsfall eine EXE-Datei auf den Rechner des Besuchers, die den PC zu einem Teil eines Botnet macht. Der Schädling zählt zur Großfamilie Zbot/ZeuS/Quakbot. Die Erkennung durch Antivirusprogramme weist noch einige Lücken auf, hat sich nach der Entdeckung jedoch bereits verbessert. (PC Welt/mje)