Gefälschte Antivirus-Hausierer von Microsoft unterstützt, IRS

Grafik: Diego AguirreNur wenige Wochen, nachdem die US Federal Trade Commission zwei Firmen geschlossen hatte, die beschuldigt wurden, gefälschte Antivirensoftware verkauft zu haben, ist ein neuer Spieler auf den Markt gekommen, unterstützt durch Störungen auf den Websites von Microsoft und US Internal Revenue Service Nach vier Tagen haben die Betrüger sogenannte Redirector-Links auf Websites von Magazinen, Universitäten und vor allem den Domänen Microsoft.com und IRS.gov verwendet, sagte Gary Warner, Leiter der Forschungsabteilung für Computerforensik an der University of Alabama in Birmingham, der zuerst die Aktivität in seinem Blog am Dienstag berichtete.

Viele Websites verwenden Redirector-Links, um Besucher von der Site wegzuziehen, obwohl die Website-Betreiber versuchen, sie daran zu hindern, von Betrügern missbraucht zu werden. Zum Beispiel verwendet die Google-URL //www.google.com/search?q=idg&btnI=3564 die Google-Funktion "Ich bin glücklich", um Websurfer an IDG.com zu senden.

[Weitere Informationen: Wie? Malware von Ihrem Windows-PC entfernen]

Wenn Kriminelle einen Redirector auf einer großen Website wie Microsoft.com oder IRS.gov verwenden können, können sie ihre schädlichen Links in den Google-Suchergebnissen jedoch sehr hoch erscheinen lassen, so Warner in einem Interview.

"Microsoft ist eine super-mächtige Seite, was das Suchmaschinengewicht betrifft", sagte er.

Die bösen Jungs haben Suchmaschinen dazu verleitet, ihre bösartigen Links zu Zehntausenden von Suchbegriffen zurückzugeben Sagte Warner. Sie haben dies mithilfe spezieller Software getan, um diese Redirector-Links zu "Zehntausenden von Blogkommentaren, Gästebucheinträgen und imaginären Bloggeschichten rund um das Internet hinzuzufügen", sagte Warner in seinem Blogbeitrag.

Sie können das sehen Ergebnisse dieser Aktivität. Eine Google-Suche nach dem Begriff "Microsoft Office 2002-Download" liefert als erstes Ergebnis einen Microsoft.com-Umleitungslink. Dieser Link habe die Besucher auf eine bösartige Website umgeleitet, die einen webbasierten Angriffscode gegen die Opfer gestartet und versucht habe, sie zum Herunterladen gefälschter Antivirensoftware zu verleiten, so Warner. Bis Dienstagabend hatte Microsoft das Problem behoben, so dass der Microsoft.com-Link, der in den Google-Suchergebnissen erscheint, Surfer nicht mehr auf die bösartige Website brachte.

Das IRS hat jetzt auch das Problem angesprochen, aber etwa 20 andere Seiten bleiben ein Problem, sagte Warner.

Die gefälschte Antivirus-Software, auch "Scareware" genannt, installiert einen Keylogger auf dem Computer des Opfers, vermutlich um Login-Namen und Passwörter zu stehlen, und startet gefälschte Warn-Popups auf jeder Webseite Opfer besuchen ihn, um ihm mitzuteilen, dass er eine Antivirensoftware kaufen muss, die "Systemsicherheit" genannt wird. Der Preis für das gefälschte Produkt? Eine glaubwürdig klingende $ 51,45.

Die FTC schätzt, dass 1 Million Verbraucher von anderen gefälschten Antivirus-Produkten wie WinFixer, WinAntivirus, DriveCleaner, ErrorSafe und XP Antivirus aufgenommen wurden. Am 10. Dezember ordnete ein Bundesgericht an, dass zwei Unternehmen, Innovative Marketing und ByteHosting Internet Services, die Werbung für diese Produkte einstellen.

Warner weiß nicht, wer hinter System Security steht, aber er glaubt, dass die Betrüger hinter dieser neuesten Operation stehen verbunden mit den früheren Betrügereien. "Es ist ähnlich genug, dass es jemand sein muss, der eine Beziehung mit der letzten Gruppe hat", sagte er.