Online-Werbung infiziert rund eine Million PCs mit Adware

21.07.2006
Ein Banner nutzt ein kritisches Windows-Leck aus, um MySpace.com-Nutzer und Besucher anderer Web-Sites mit Adware zu bombardieren.

Über eine Million Nutzer unter anderem der Online-Community-Site MySpace.com sollen nach Angaben von iDefense, einer zu VeriSign gehörigen Gruppe von Sicherheitsexperten, durch eine Banner-Werbung mit Adware infiziert worden sein. Die Online-Reklame, die für eine Web-Site namens "deckoutyourdeck.com" wirbt, sei in Nutzerprofilen auf MySpace aufgetaucht und nutze eine kritische, bereits im Januar gepatchte Sicherheitslücke im Internet Explorer (IE) aus, so Ken Dunham, Director des Rapid Response Team bei iDefense. Dabei handelt es sich um einen Fehler in der Art und Weise, wie der Browser Grafiken im Windows-Metafile-Format (WMF) verarbeitet. Die IE-Schwachstelle hatte im Dezember 2005 für Wirbel gesorgt, nachdem Hacker eine manipulierte WMF-Bilddatei via E-Mail, Instant-Messaging-Links sowie Webseiten verbreitet hatten, um die befallenen Systeme in ihre Gewalt zu bringen.

Nach Schätzungen von iDefense machen sich derzeit mindestens 600 Webseiten dieses Sicherheitsleck zunutze. Das Problem: Viele private Surfer haben den WMF-Patch offenbar noch nicht aufgespielt, so dass ihre PCs ungeschützt sind. In diesem Fall reicht bereits der Besuch der betroffenen Webseiten aus, um sich einen Trojaner herunterzuladen, der Junk-Software der Adware-Familie "PurityScan/ClickSpring" installiert. Letztere bombardiert die Opfer mit Popup-Ads und erfasst darüber hinaus deren Web-Aktivitäten. Nutzer gepatchter Systeme hingegen würden durch die explizite Aufforderung, eine Datei namens "exp.wmf" herunterzuladen, immerhin "gewarnt", so Dunham.

Die Community MySpace.com, die mittlerweile rund 70 Millionen Nutzer zählt, gerät aufgrund ihrer Popularität immer häufiger ins Fadenkreuz von Hackern. Web-Sites, die Adware verbreiten, werden nach der Anzahl erfolgreicher Softwareinstallationen bezahlt. Laut iDefense führt die Spur der Infektionen durch die Banner-Werbung zu einem in der Türkei stationierten Server. Dieser fungiere als Adware-Host und erfasse die Zahl der infizierten Systeme. Demnach hätten bereits 1,07 Millionen PCs die Adware heruntergeladen. (kf)