Ziel des Wurms namens ""w32.KMeth" ist es, möglichst viele Yahoo-Nutzer zum Besuch gefälschter Web-Seiten zu bewegen, die Google-Adsense-Werbung mit Bezug auf eine seltene, durch Asbestvergiftung hervorgerufene Form von Krebs (Asbestmesotheliom) zeigen. Cyber-Kriminelle, die Traffic an echte oder gefälschte Web-Seiten zu diesem Thema leiten, machen sich das Adsense-System zu Nutze, um schnelle Gewinne einzufahren. Hat der räuberische Wurm erst einmal einen Client infiziert, sendet er Nachrichten an jeden Yahoo-Kontakt, den er dort ausfindig machen kann. Die Empfänger versucht er auf unterschiedliche Art und Weise zum Klick auf einen in die Message eingebetteten Link zu bewegen.

Über den Link lässt sich aber nicht nur Adsense-Umsatz erzielen. Klickt der Nutzer auf denselben, fängt sich der Opfer-PC eine Reihe von Schaddateien ein, die den Infektionszyklus erneut in Gang setzen. Außerdem verändert der Wurm die Startseite des Internet Explorer (IE), um mehr betrügerischen Traffic für seine Kampagne zu generieren. Einem Blog-Eintrag des Sicherheitsunternehmens FaceTime zufolge kann der Schädling jedoch noch mehr: Um Googles Betrugsfiltern zu entgehen, kann er an die Fake-Seiten gerichteten Traffic aus bestimmten Ländern, in denen der IP-Filter-Service "TrafficCleaner" eingesetzt wird, aufspüren und ablehnen. Dort heißt es, üblicherweise würden finanziell motivierte Malware-Taktiken Botnetze dazu nutzen, um widerrechtlich den Traffic auf spezielle Online-Werbung zu erhöhen. "In diesem Fall wenden die Hacker jedoch geschickt Botnetz-Taktiken an, um ein Bot-loses Netz aus gekaperten PCs zu kreieren und Verkehr an Seiten mit dieser spezifischen Google-Adsense-Werbung zu leiten."

Eine nahe liegende Maßnahme zum Schutz gegen den Schädling ist derzeit, keine Links zu öffnen - egal, woher sie kommen. (kf)