Hintergründe zum Malware-Banner beim «Blick»

PC Virus

Bis letzten Dienstag ging ich davon aus, dass Werbebanner, die den User auf eine gefährliche Seite umleiten und ihm Schadsoftware, Trojaner oder ähnliches unterjubeln wollen, ein nicht sehr verbreitetes Phänomen sind. Doch da habe ich mich gründlich getäuscht, wie ich gestern lernen durfte. Nicht nur Sandi Hardmeier, die den Fall mit dem schädlichen Flashbanner bei blick.ch bekanntgemacht hat, auch der Vermarkter web2com weist darauf hin, dass dies vor allem in Amerika eine ziemlich verbreitete Angriffsart auf Computer ist. Dabei gehen die Täter äusserst professionell vor, wie auch am aktuellen Fall zu sehen ist.

Das fängt bereits bei der Programmierung des entsprechenden Flashbanners an. Nicht nur wird Geotargeting verwendet, um speziell die Computer aus bestimmten Ländern oder Regionen zu infizieren. Zusätzlich greift auch eine IP-Sperre, so dass bekannte „Jäger“ die Umleitung auf die Malware-Seite gar nicht zu Gesicht bekommen und, wie andere Nutzer ausserhalb der definierten Geozonen, ganz normal auf die beworbene Webseite geleitet werden. Das Ganze wird dann meist auch noch verschlüsselt in Flash gespeichert, was aber weiter kein Aufsehen erregt, wie auch Pierre Bohren von web2com hier in den Kommentaren erklärt:

Da Redirects als solches in der Online-Werbung von Kunden oft zum Mittracken verwendet werden, ist es rein technisch sehr schwierig die Spreu vom Weizen zu trennen.

Im aktuellen Fall geht web2com zwar davon aus, dass der Redirect auf die Malware-Site nur für nordamerikanische Nutzer gegriffen hat. Laut Sandi Hardmeier, ist das aber nicht zutreffend, da sie den Redirect auch in Australien zu Gesicht bekommen hat. Kommt dazu, dass es wohl kaum Sinn machen würde, die Werbung auf einer Schweizer Website zu platzieren, wenn man es lediglich auf Nordamerika abgesehen hätte.

Der Weg zu blick.ch

Be a good citizen: Dont spread computer viruses!

Doch wie kam das Banner nun zu blick.ch? Der Auftrag ging von der amerikanischen Agentur Proximo Group via Ringier International an web2com, wo der Auftraggeber und das Banner geprüft wurden. Auch Ringier selbst prüft nach eigenen Angaben jeweils sowohl Auftraggeber und das zu verwendende Banner. Das Problem daran: Als Auftraggeber gilt nicht der eigentliche Kunde, sondern, gerade bei internationalen Aufträgen üblich, die entsprechend beauftragte Werbeagentur, in diesem Fall also die Proximo Group. Da zeigt sich dann auch die Schwäche bei der Prüfung des Kunden: Weder web2com noch Ringier ist somit der eigentliche Endkunde bekannt.

FBI eingeschaltet

Skyauction.com, deren Name für die Flashbanner missbraucht wurde, ist, wen wunderts, wenig begeistert über diese Machenschaften, zumal der aktuelle Fall nicht der erste seiner Art ist, wie Gary Doughty, Chief Technology Officer von skyauction.com erklärt:

We have had reports from a few different websites that have been tricked into accepting a malicious flash ad which looks like a SkyAuction ad, but is really not. We do not use flash ads, and the malicious flash ads people have seen look nothing like any campaign we have ever run. As far as we have been able to find out, there is a group that has created various fake ad companies that claim to represent us. They have even gone as far as creating a forged letter from our CEO stating that they have the authority to represent us when pressed to explain the behavior of the ads.

Wenn also für diese Zwecke sogar eigens Firmen gegründet werden, zeigt das auch, wieviel Geld mit diesen Machenschaften generiert werden. Immerhin: Skyauction.com hat in der Zwischenzeit das FBI eingeschaltet und es ist zu hoffen, dass dieses das unübersichtliche Geflecht etwas entwirren kann.

Malware in der Schweiz gehostet

Malware

Zu einer kleinen Kontroverse führte gestern auch die Tatsache, dass die sowohl im aktuellen, als auch in älteren Fällen für die Verbreitung der Malware genutzten Domains vom Provider nine.ch gehostet wurden. Es handelt sich dabei u.a. um die Domainnamen

  • vozemiliogaranon.com
  • newbieadguide.com
  • akamahi.net
  • thetechnorati.com

welche alle auf nichtexistierende Firmen registriert wurden.

Während mir Provider wie green.ch oder cyon.ch auf Anfrage versicherten, dass sie bei Kenntnis über derartige Aktivitäten die Server sofort vom Netz nehmen würden, wählten die Verantwortlichen bei nine.ch einen anderen Weg, wie Philipp Koch von Nine Internet Solutions AG erklärt:

Der Missstand wurde uns gestern Dienstag berichtet, so dass wir wie üblich den Kunden informieren und um eine Behebung bitten. Steht eine Reaktion aus, sperren wir die betroffenen Systeme.

Ob sich der Hosting-Provider mit einer nicht sofort durchgeführten Sperrung aufs zivil- und/oder strafrechtliche Glatteis begibt, ist umstritten. Zwar wäre mit einer raschen Reaktion die Gefahr, die durch die Banner ausgeht, kurzfristig gebannt, allerdings dürfen Hoster natürlich auch nicht bei jeder Reklamation einer Privatperson oder Firma gleich Webpräsenzen sperren. Man denke dabei bspw. an die Website eines geschäftlichen Konkurrenten oder einen missliebigen Eintrag in einem Blog und das Missbrauchspotential, das dadurch entstehen könnte.

Der Jurist Martin Steiger umschreibt das wie folgt:

Im von Dir geschilderten Sachverhalt gehe ich davon aus, dass der erwähnte Schweizer Provider die «Malware-Banner» mit zumutbarem Aufwand tatsächlich sperren könnte. Erfolgt keine Sperrung, kann der Provider insbesondere einer zivilrechtlichen Haftung unterliegen und damit auch schadenersatzpflichtig werden. Eine solche Haftung ist gegeben, wenn der Provider (i) glaubhafte und spezifische Hinweise auf die «Malware-Banner» von einer diesbezüglich kompetenten Quelle erhalten hat, (ii) die Rechtsverletzung durch die «Malware-Banner» offensichtlich ist und (iii) die Interessen der «Internet-Öffentlichkeit» bezüglich Schutz vor Gefährdung und Schädigung durch die «Malware»-Banner überwiegen. Dabei muss dem Provider genügend Zeit für eigene Abklärungen sowie die Kontaktaufnahme mit dem betreffenden Hosting-Kunden eingeräumt werden.

Im Ergebnis gehe ich davon aus, dass die Argumentation des Providers in diesem Fall zu kurz greift. Ein Provider muss die Hosting-Inhalte seiner Kunden zwar nicht präventiv überprüfen und auch nicht jedem Hinweis nachgehen. Im vorliegenden Sachverhalt aber sollte der Provider die «Malware-Banner» zumindest überprüfen um im eigenen Interesse die Gefahr von unerwünschten strafrechtlichen und zivilrechtlichen Folgen zu beschränken.

Nachdem sich der Kunde bis gestern Vormittag aber nicht gemeldet hat, hat nine.ch den betreffenden Dedicated Server zwar spät, aber immerhin doch noch vom Netz genommen. Doch die Malware-Verteiler haben schnell reagiert, schliesslich hatten sie durch die Vorwarnung des Providers genügend Zeit, eine neue Alternative zu suchen. Bereits heute morgen sind die Domains wieder aufgetaucht: Diesesmal gehostet beim niederländischen Provider Netrouting Data Facilities, der allerdings von Sandi bereits entsprechend informiert worden ist.

Systematik der Angriffe
Wer genauer wissen will, wie so ein Angriff mit einem gefälschten Werbebanner vor sich geht, sollte sich das folgende Video ansehen. Es zeigt was passiert, wenn auf ein solches Banner geklickt wird.
Nice to know: Auch beim im Video gezeigten Angriff auf die Webseite der amerikanischen „Major League Baseball“ wird eine der oben genannten URLs genutzt:

Fazit

Die Gefahr, sich durch einen Klick auf ein Werbebanner Viren oder Trojaner einzuhandeln, ist hierzulande, im Gegensatz zu den USA, zwar noch gering. Trotzdem zeigt sich einmal mehr, dass man unbekannten Webseiten mit einer gewissen Portion Misstrauen begegnen sollte. Erst recht, wenn die Ziel-URL nicht dem entspricht, was eigentlich per Banner beworben wurde. Ein aktuelles Betriebssystem und ein (aktivierter) Virenscanner sollten heute zudem eigentlich zu den Pflichtübungen gehören.

Ebenfalls in der Verantwortung sind die Sites, auf denen solche Malware-Banner geschaltet wurden, auch wenn Sie direkt keine Schuld trifft. So vermisse ich auf blick.ch beispielsweise nach wie vor einen Hinweis auf die mögliche Trojaner-Infizierung durch das gefälschte skyauction-Banner, welches während immerhin 5 Tagen online war.

Weitere Beiträge zum Thema:

Malware-Banner beim «Blick»
Malware-Banner: Liederliche Checks?

Weitere Infos zum Thema

(Bilder: eigene, sowie flickr [1], [2])

4 Comments

  1. Patrick 10.01.2008
  2. alex 10.01.2008
  3. mds 14.01.2008
  4. BloggingTom 14.01.2008