Grundlagen-Computer.de > Blog-Tipps > Probleme für Webmaster durch Trojaner

Probleme für Webmaster durch Trojaner

20.12.2007 | KonstantinM | Blog-Tipps, Internet | 8 Kommentare

Soeben habe ich erfahren, dass es einen Trojaner im Internet gibt, der Textanzeigen, wie z.B. die von Google gegen eigene Werbeanzeigen austauscht. Als Webmaster hat man das Problem, dass Werbeeinnahmen zum einen zurückgehen, zum anderen Besucher gezielt auf andere Seiten geleitet werden, die Schadcode enthalten können.

Der Trojaner nennt sich Trojan.Qhost.WU und fängt Anfragen an Googles Adserver ab, verändert diese und antwortet mit eigenen Anzeigen, die den orginalen täuschend echt sind. Das Verfahren soll bereits bekannt sein – allerdings nicht bei Google-Werbeanzeigen. Ich kannte es vorher noch nicht.

Interessant, wie Betrüger vorgehen, denn auf die Idee muss man erstmal kommen. Was für mich interessanter ist, ist welche Strafe solch einen Betrüger erwartet. Als Webmaster erkennt man relativ schnell, wenn die eigene Seite davon betroffen ist, nämlich genau dann, wenn keine Werbeeinblendungen bzw. Klicks mehr im Statistikmenü auftauchen. Anschließend müsste im Prinzip nur der Quelltext analysiert werden. Ich habe selbst solche gefälschten Anzeigen noch nicht gesehen. Bleibt abzuwarten, ob dieses Verfahren zum ernstzunehmenden Problem für Webmaster wird. Was meint ihr?

Gelesen auf:
- Schädling tauscht Google-Textanzeigen aus
- Trojaner tauscht AdSense-Banner aus

Ähnliche Blog-Artikel:

Dieser Beitrag hat bislang 8 Reaktionen. Schreibe einen Kommentar oder sende einen Trackback ab. Sollte dieser sinnvoll sein, schalte ich ihn gerne frei. Ansonsten empfehle ich den kostenlosen Feed zu abonnieren. Schlagwörter: Internet, Sicherheit

Bisherige Reaktionen

lupus | am 21. Dezember 2007 um 00:33 Uhr

Hallo.
Gerade mal von Golem auf diesen Artikel gekommen…
Aber die Pointe der ganzen Geschichte fehlt ja noch (deswegen kann ein Admin das ganze ja nicht erkennen): Der Virus editiert auf dem befallen Rechner (nicht auf dem Server), die Host-Datei, was zur folge hat, dass ein Aufruf der google-Ads von Windows selber auf andere dubiose Hosts umgeleitet wird. (Ohne, dass der betreffende User etwas merkt). Die Website bzw. der Quelltext bleibt unverändert. D.h. solange der Admin nicht selbst vom Virus betroffen ist, merkt er auch nichts, die User merken auch nichts, weil ihnen in der Adress-Zeile des Browsers weiterhin die google-ads-Adresse angezeigt wird… (siehe z.B. localhost-Eintrag in der Host-Datei, er wird automatisch auf 127.0.0.1 umgeleitet, ohne dass die Adresse geändert wird)

Ansich eine echt raffinierte Methode, als einzige Möglichkeit der Überprüfung bleibt, ab und zu die WINDOWS/system32/drivers/etc/hosts zu kontrollieren… (wovon Otto Normalverbraucher wahrscheinl. keine Ahnung hat…) Online wird man es auf jeden Fall nicht bemerken, weil die ausgetauschten Anzeigen angeblich ja genauso aussehen wie die Google-Ads. D.h. es könnten längerfristig viele User von dem Virus befallen sein, ohne es zu merken… (Beste Prävention: Linux )

so far,
Fiete

Saladin | am 21. Dezember 2007 um 01:09 Uhr

das diese blöden trojaner affen auch nichts besseres zu tun haben ..
allein in diesem jahr musste ich meinen pc trotz firewall viren und spyware scanner 3x neu installieren

Konstantin | am 21. Dezember 2007 um 02:01 Uhr

@Saladin: Mich ärgert sowas genau so. Das Formatieren blieb mir bisher aber erspart.

@lupus: Hallo Lupus und willkommen im Blog. Danke für den Fachkommentar und die Aufklärung. Ich hatte bereits einige Beiträge flüchtig dazu gelesen und jetzt erst richtig verstanden, was der Trojaner wirklich macht.

Du hast natürlich vollkommen Recht…die Host-Datei wird dem Anwender nichts sagen. Als Webmaster ist man dann die betroffene Person. Was soll man machen? – Das ist die Frage. Aufklären, aufklären und die Seitenbesucher auffordern Linux zu installieren?

Ich habe gerade unter http://www.spyware-techie.com/trojanqhostwu-removal-guide/ einen interessanten Blog-Eintrag gelesen, indem beschrieben wird, wie man erkennen kann, ob der eigene Rechner befallen ist. Die Überprüfung sollte auch für gewöhnliche Computer-User machbar sein:

Start -> Ausführen -> ping -t pagead2.googlesyndication.com

Pinging pagead.l.google.com [6x.xxx.xxx.xxx] with 32 bytes of data

Wenn da eine “6″ steht ist der Computer nicht infiziert, bei einer “9″ hat der Trojan.Qhost.WU einen erwischt. Auf der Seite ist auch gleich noch beschrieben, wie man den Trojaner wieder los wird.

lupus | am 21. Dezember 2007 um 09:33 Uhr

Hallo.
Die Idee mit dem Ping ist gut! Die IP können die Herren Programmierer da (noch) nicht so leicht umbiegen, allerdings erreiche ich mit ping und nslookup eine 209.85.xxx.xxx. und nun?

und @saladin: Wenn du nicht gerade alle email-Anhänge etc. öffnest, kannst du dir Viren ja (fast) nur beim Surfen im Internet einfangen… (ne gezielte Attacke gegen Privatuser ist wohl eher nicht zu erwarten). Dann schalte doch einfach mal JS ab, wenn du auf Seiten gehst, denen du nicht vertraust… sowas wie “seriall.com” und wie sie alle heißen (hat in meiner Windows-Zeit wunder bewirkt )

so far,
Fiete

Konstantin | am 21. Dezember 2007 um 12:22 Uhr

209.XXX.XXX.XXX? Seltsam – bei mir ist es eine 6XX.XXX.XXX.XXX IP. Habe die Adsense-Server nun auch 209er Adressen? Dein Rechner ist befallen

Hilfreich ist es auch solche Seite nicht zu besuchen – ein Problem wirds wenn man versehentlich raufgeht, aber da sollte ein guter Antivirus Guard zumindest mal bekannte Schädlinge erkennen und anspringen. Bei Einhabe von “Trojan.Qhost.WU” in der Suchmaschine werden knapp über 4.000 Ergebnisse ausgegeben. So ganz unbekannt ist der Trojaner nicht. Zumindest Bitdefender hällt Informationen bereit. (Habe ich jetzt öffentlich auf anhieb gefunden)

Konstantin | am 21. Dezember 2007 um 12:46 Uhr

Schon geändert mit dem Link.

Mich würde es genau so interessieren und werde da auch am Ball bleiben. Hoffe nur, dass es nicht zum ernsten Problem wird. Dieser Trojaner hat es insbesondere auf Adsense Anzeigen abgesehen. Doch wenn das Prinzip erstmal steht und funktioniert, könnte das mit jeglicher Werbung gemacht werden. Dann hätte man wirklich einen Grund, warum die Einnahmen im Internet bei vielen zurückgehen.

lupus | am 21. Dezember 2007 um 12:51 Uhr

…und es kommt noch viel schlimmer! Stell dir vor, z.b. onlinebanking.meinebank.de wird auf evil_server.vu umgeleitet durch einen Eintrag in der Host-Datei… Es sind ganz neue Wege des Phishing möglich… Und das alles nur, weil Windows sich selbst nicht ausreichend schützen kann… Eine dringend empfohlene Schutzmöglichkeit wäre allerdings, einen eingeschränkten Useraccount in Windows anzulegen, den man zum Surfen nutzt. 90% der Windows-User surfen doch sicherlich mit dem Administratoraccount… Dann müsste die hosts-Datei gegen Editieren gesichert sein… Müsste mal jemand ausprobieren, der Windows hat

so far…

lupus | am 21. Dezember 2007 um 12:32 Uhr

hmm… tja… ich habe auch keine Ahnung, wieso ich auf ne andere ip komme Aber befallen dürfte mein Rechner nicht sein, und meine /etc/hosts enthält nichts merkwürdiges Vllt. unterhält Google für Adsense regional unterschiedliche Server bereit? naja. gibt schlimmeres

Solche Seiten nicht zu besuchen, wäre natürlich die beste Idee – ich will Saladin ja auch nicht unterstellen, sich illegale keys etc. runterzuladen… – aber gerade in der Gamerszene holt man sich ja vllt. ab und zu gerne mal einen keygen oder ein paar serials… Dann wird illegal eben mit illegal bestraft, indem sich betreffende Leute Viren einfangen… Pech gehabt Sag btw. mal Bescheid, wenn du ein gefälschtes Google-Ads bekommst, bzw. wenn du den Virus mal zum Download bekommst oder herausfindest, was genau der in die Hostdatei schreibt… würde mich mal interessieren

so far,
Fiete

Kommentar schreiben