Perfekte Kopie – Werbe-Wurm imitiert Google

Perfekte Kopie:Werbe-Wurm imitiert Google

11. Mai 2010, 1:44 Uhr

Lesezeit: 1 min

Ein Wurm mit Adware-Funktionen leitet Suchanfragen auf eine andere Website um

Frank Ziemann

Der Antivirus-Hersteller Panda Software meldet die Entdeckung eines P2P-Wurms, der Adware-Funktionen enthält. "P2Load.A" verbreitet sich über die Peer-to-Peer-Netze (P2P) "Shareaza" und "Imesh". Er überschreibt die Hosts-Datei und leitet so Suchanfragen um.

P2Load.A verbreitet sich in den P2P-Netzen als Spiel aus der Star-Wars-Saga mit dem Titel "Knights of the Old Republic 2". Die geringe Dateigröße von 45 Kilobytes sollte potenzielle Opfer stutzig machen. Wird die Datei ausgeführt, zeigt sie eine Fehlermeldung an. Diese besagt in fehlerhaftem Englisch, dass eine Datei namens "vb2.dll" veraltet sei und eine neuere Dateiversion geladen werden müsse.

Der Wurm legt eine Kopie von sich als "winlogin.exe" im System-Verzeichnis von Windows ab. Diese Datei trägt er in die Registry ein, damit sie beim Start von Windows automatisch geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWinlogin = %sysdir%\winlogin.exe

Ferner ändert der Wurm die Registry-Einträge des Internet Explorers, in denen die Start- und Suchseiten festgelegt sind. Die Startseite des Internet Explorers zeigt nun Werbung an. Ferner lädt er eine Datei aus dem Internet herunter und überschreibt damit die vorhandene Datei "HOSTS". Diese enthält Zuordnungen von Web-Adressen zu IP-Adressen. So manipuliert der Wurm das Ziel von Suchanfragen, die eigentlich für Google bestimmt sind. Er leitet sie auf eine andere Website um, die mehr oder weniger die gleichen Suchergebnisse liefert, jedoch andere "Sponsored Links" (Werbe-Links) zur Verfügung stellt.

Die Suchseite ist eine nahezu perfekte Kopie von Google, einschließlich der Unterstützung mehrerer Sprachen. Auch Vertipper wie "wwwgoogle.com" oder www.gogle.com" werden erfasst und umgeleitet. Mit der manipulierten HOSTS-Datei könnte der Wurm P2load.A auch Anfragen an jede beliebige andere Website umleiten. Zweck des Wurms ist wohl Geld durch den Verkauf der Werbeanzeigen auf dem manipulierten Suchportal zu verdienen.