Dass (Spam-) Ping- und Trackbacks auch für die Verteilung von Viren, Mal- und Adware genutzt werden können, ist zwar logisch, ist bisher aber an mir vorbeigegangen. Seit Ende letzter Woche aber wird das sehr offensichtlich, denn mein Blog wird derzeit von Pingbacks chinesischer Domains überflutet.
Wer den Spam-URLs mit dem Muster
http://[ändernde 5-stellige Zeichenfolge]-free-movies.cn
folgt (natürlich mit den entsprechenden Sicherheitsvorkehrungen), wird automatisch auf die Adresse spy-shredder.com weitergeleitet. Dort erwartet ihn ein Fake-Onlinescan, der vorgibt, den eigenen Computer auf Viren und ähnliches zu prüfen:
Der Scan findet, wie es zu erwarten war, natürlich eine Infektion…
… und schlägt nun, unabhängig davon, worauf man klickt, immer wieder vor, die Datei „Install1279.exe“ herunterzuladen und entsprechend zu installieren.
Damit würde man sich dann die eigentliche Adware [PDF] auf den Computer holen, die danach aggressiv mit diversen Popups und veränderter Browser-Startseiten versucht, den User zum Kauf von SpyShredder zu bewegen, was natürlich völlig unnötig ist.
Absolut stossend finde ich in diesem Zusammenhang das Versagen von Akismet, das bei mir als Zusatzplugin von SpamKarma 2 seinen Dienst tut. Obwohl ich bereits mindestens 60 solcher SpyShredder-Pingbacks als Spam gemeldet habe, stuft Akismet diese nach wie vor als „Nicht-Spam“ ein. Da frag‘ ich mich doch manchmal, wieso Akismet überhaupt solche Usermeldungen entgegennimmt.
Auch Webseiten wie McAfee SiteAdvisor versagen hier kläglich, obwohl die Anbieter solcher Seiten vorgeben, den User beim Surfen im Internet vor „gefährlichen“ Seiten schützen zu wollen. Wer nämlich Informationen zur Seriosität der SpyShredder-Seiten haben will, wird vertröstet, obwohl erste User die Webseiten bereits vor mehr als drei Wochen zur Überprüfung gemeldet haben:
Was bleibt, ist einmal mehr die Kontrolle der via Ping- oder Trackback, aber auch der via Kommentare eingehenden Links. Aber das machen ja (hoffentlich) alle seriöseren Blogger, oder?
Mehr Informationen zu SpyShredder:
- Bleeping Computer: How to remove SpyShredder
- Symantec: Spyshredder
Ha, darauf bin ich gar nicht gekommen, hatte den Teil-String nur in Spam Karma2 in der Blacklist. So kamen zwar alle Spam-Pingbacks in die Moderationsschlaufe und wurden nicht mehr angezeigt, dafür hatte ich immer haufenweise zu löschen.
Aber die „normale“ Blacklist probier‘ ich doch grad mal aus…
Ich hatte das Problem auch mit einer Sexseite. Es hat über 2 Wochen gedauert, bis Askimet reagiert hat. Du kannst in Einstellungen->Disskussion ganz unten die die Kommentarblacklist free-movies.cn reinschreiben, das hat zumindest bei mir geholfen. Probiers mal aus.
Liebe Grüße
Ich habe sogar Kontakt mit der Firma SpyShredder aufgenommen und zunächst mit rechtlichen Schritten gedroht, wenn Sie nicht innerhalb einer von mir gesetzten Zeit, von 5 Stunden, mir Hilfe leisten, bei der Herstellung des bisherigen Systemzustandes meines befallenen PCs. Sie antworteten in der gesetzten Zeit auch, boten mir einen 3 Tages-key an, der natürlich nichts brachte und baten mich um Rückmeldung, um Ihnen bei der Analyse, des wahren Verursachers zu helfen. Denn sie entschuldigten sich gleichzeitig für diesen Eingriff auf meinen PC nicht verantwortlich zu sein.
Ich halte seitdem mit ihnen Kontakt, weil ich, ähnlich, wie es hier auf dieser Seite beschrieben wurde, befürchte, daß es sich bei den Programmen, die die Blockade in meinem PC verursacht haben, nicht um SpyShredder handelt, sondern um andere Programme handelt, die sich hier eingenistet haben. Ich möchte mich in nächster Zeit gern an der Verfolgung der Verursacher beteiligen und werde mich zu gegebener Zeit wieder melden.
Gruß aus Salzgitter
Hans Werner Oberst
Das mit dem SPAM Trackback, Pingback und Referrer kenne ich auch nur zu gut. Ich habe dasBlog im Einsatz. Dort habe ich mal alle Referrer bereinigt. Von den 60’000 Referrer blieben dann noch etwa 10K übrig.
Bei Trackbacks und Pingbacks war die Quote auch in diesem Bereich.
Ich finde das echt ätzend das die Idee so missbraucht wird. Viele schalten dann die Trackbacks, Pingbacks einfach aus. Und genau das finde ich schade.
Bei mir sind sie noch eingeschaltet.