Antivirus-Nepp

Scareware-Seiten mit gefälschter Firefox-Warnung

Die Fälschung der von Firefox bei potenziell gefährlichen Websites ausgegebenen Warnseite durch Scareware-Verbreiter hat ein neues Niveau erreicht. Nun werden die vorgeblichen Virenfunde in die Nachahmung dieser Seite integriert.

Das Geschäft mit falschen Antivirusprogrammen floriert, auch weil die Online-Kriminellen sich immer wieder neue Tricks ausdenken. In den letzten Wochen stand vor allem Mac OS X als neue Zielscheibe im Mittelpunkt des Interesses, doch auch für Windows-Nutzer haben die Verbreiter so genannter Scareware wieder neue Überraschungen parat, wie Chester Wisniewski im Sophos Blog zu berichten weiß.

Die Scareware-Falle wird wie üblich mittels Suchmaschinenoptimierung vorbereiteter Umleitungsseiten aufgespannt, die aktuelle Themen aufgreifen. Klickt ein potenzielles Opfer auf einen solchen Link in der Trefferliste von Google & Co, landet es zunächst auf einer Seite, die überprüft, ob der Besucher über die Google-Suche dorthin gefunden hat. Zudem werden der verwendete Browser und das Betriebssystem versionsgenau identifiziert.

Fälschung: Tarnung als Firefox-Warnung.
Fälschung: Tarnung als Firefox-Warnung.

Erkennt das Script eine Windows-Version von Firefox, leitet es den Besucher auf eine gefälschte Warnseite um, die der von Firefox erzeugten Warnmeldung nachempfunden ist. Sie unterscheidet sich vom Original unter anderem dadurch, dass sie vor einer bereits erfolgten Infektion des Rechners warnt. Eine solche Funktion ist in Firefox nicht enthalten.

Die Online-Kriminellen haben vielmehr die vorgeblichen Virenfunde in die gefälschte Warnseite integriert. Das darin angezeigte "Scan-Ergebnis" weist eine ganze Reihe von Schädlingen aus, die vorgeblich auf dem PC des Opfers gefunden worden sind. Ein Klick auf die Schaltfläche "Start Protection" am unteren Rand der Seite startet den Download eines Scareware-Programms. IE-Benutzer bekommen die übliche Explorer-Imitation zu sehen, der Download startet bei einem Klick irgendwo auf der Seite.

Wie üblich verlangen die Betrüger für eine Vollversion ihrer Luftnummer einen selbst für eine ausgewachsene echte Antiviruslösung sehr hohen Preis. Nur diese Vollversion soll in der Lage sein die (nicht existierenden) Schädlinge zu entfernen. Tatsächlich würden die nervigen Warnmeldungen für eine Weile verschwinden, sollte das Opfer auf diese Masche herein fallen. Schutz vor richtiger Malware bieten solche Programme jedoch nicht einmal ansatzweise.

Die Täter erhalten auf diese Weise nicht nur die 80 US-Dollar für ihre Scheinlösung, sondern auch die Kreditkartendaten des Opfers. Die können sie weiter verkaufen oder für eigene Shopping-Touren im Web benutzen. (PC-Welt/cvi)