Soeben habe ich erfahren, dass es einen Trojaner im Internet gibt, der Textanzeigen, wie z.B. die von Google gegen eigene Werbeanzeigen austauscht. Als Webmaster hat man das Problem, dass Werbeeinnahmen zum einen zurückgehen, zum anderen Besucher gezielt auf andere Seiten geleitet werden, die Schadcode enthalten können.
1. Trojaner tauscht Google-Anzeigen aus
Der Trojaner nennt sich Trojan.Qhost.WU und fängt Anfragen an Googles Adserver ab, verändert diese und antwortet mit eigenen Anzeigen, die den orginalen täuschend echt sind. Das Verfahren soll bereits bekannt sein – allerdings nicht bei Google-Werbeanzeigen. Ich kannte es vorher noch nicht.
2. Was Webmaster tun können
Interessant, wie Betrüger vorgehen, denn auf die Idee muss man erstmal kommen. Was für mich interessanter ist, ist welche Strafe solch einen Betrüger erwartet. Als Webmaster erkennt man relativ schnell, wenn die eigene Seite davon betroffen ist, nämlich genau dann, wenn keine Werbeeinblendungen bzw. Klicks mehr im Statistikmenü auftauchen.
[Gelesen auf: Schädling tauscht Google-Textanzeigen aus]
Hallo.
Gerade mal von Golem auf diesen Artikel gekommen…
Aber die Pointe der ganzen Geschichte fehlt ja noch (deswegen kann ein Admin das ganze ja nicht erkennen): Der Virus editiert auf dem befallen Rechner (nicht auf dem Server), die Host-Datei, was zur folge hat, dass ein Aufruf der google-Ads von Windows selber auf andere dubiose Hosts umgeleitet wird. (Ohne, dass der betreffende User etwas merkt). Die Website bzw. der Quelltext bleibt unverändert. D.h. solange der Admin nicht selbst vom Virus betroffen ist, merkt er auch nichts, die User merken auch nichts, weil ihnen in der Adress-Zeile des Browsers weiterhin die google-ads-Adresse angezeigt wird… (siehe z.B. localhost-Eintrag in der Host-Datei, er wird automatisch auf 127.0.0.1 umgeleitet, ohne dass die Adresse geändert wird)
Ansich eine echt raffinierte Methode, als einzige Möglichkeit der Überprüfung bleibt, ab und zu die WINDOWS/system32/drivers/etc/hosts zu kontrollieren… (wovon Otto Normalverbraucher wahrscheinl. keine Ahnung hat…) Online wird man es auf jeden Fall nicht bemerken, weil die ausgetauschten Anzeigen angeblich ja genauso aussehen wie die Google-Ads. D.h. es könnten längerfristig viele User von dem Virus befallen sein, ohne es zu merken… (Beste Prävention: Linux 😉 )
so far,
Fiete
das diese blöden trojaner affen auch nichts besseres zu tun haben ..
allein in diesem jahr musste ich meinen pc trotz firewall viren und spyware scanner 3x neu installieren
@Saladin: Mich ärgert sowas genau so. Das Formatieren blieb mir bisher aber erspart.
@lupus: Hallo Lupus und willkommen im Blog. Danke für den Fachkommentar und die Aufklärung. Ich hatte bereits einige Beiträge flüchtig dazu gelesen und jetzt erst richtig verstanden, was der Trojaner wirklich macht.
Du hast natürlich vollkommen Recht…die Host-Datei wird dem Anwender nichts sagen. Als Webmaster ist man dann die betroffene Person. Was soll man machen? – Das ist die Frage. Aufklären, aufklären und die Seitenbesucher auffordern Linux zu installieren? 🙂
Ich habe gerade unter http://www.spyware-techie.com/trojanqhostwu-removal-guide/ einen interessanten Blog-Eintrag gelesen, indem beschrieben wird, wie man erkennen kann, ob der eigene Rechner befallen ist. Die Überprüfung sollte auch für gewöhnliche Computer-User machbar sein:
Start -> Ausführen -> ping -t pagead2.googlesyndication.com
Pinging pagead.l.google.com [6x.xxx.xxx.xxx] with 32 bytes of data
Wenn da eine „6“ steht ist der Computer nicht infiziert, bei einer „9“ hat der Trojan.Qhost.WU einen erwischt. Auf der Seite ist auch gleich noch beschrieben, wie man den Trojaner wieder los wird.
Hallo.
Die Idee mit dem Ping ist gut! Die IP können die Herren Programmierer da (noch) nicht so leicht umbiegen, allerdings erreiche ich mit ping und nslookup eine 209.85.xxx.xxx. und nun? 😛
und @saladin: Wenn du nicht gerade alle email-Anhänge etc. öffnest, kannst du dir Viren ja (fast) nur beim Surfen im Internet einfangen… (ne gezielte Attacke gegen Privatuser ist wohl eher nicht zu erwarten). Dann schalte doch einfach mal JS ab, wenn du auf Seiten gehst, denen du nicht vertraust… sowas wie „seriall.com“ und wie sie alle heißen 😉 (hat in meiner Windows-Zeit wunder bewirkt 🙂 )
so far,
Fiete
209.XXX.XXX.XXX? Seltsam – bei mir ist es eine 6XX.XXX.XXX.XXX IP. Habe die Adsense-Server nun auch 209er Adressen? 🙂 Dein Rechner ist befallen 😛
Hilfreich ist es auch solche Seite nicht zu besuchen – ein Problem wirds wenn man versehentlich raufgeht, aber da sollte ein guter Antivirus Guard zumindest mal bekannte Schädlinge erkennen und anspringen. Bei Einhabe von „Trojan.Qhost.WU“ in der Suchmaschine werden knapp über 4.000 Ergebnisse ausgegeben. So ganz unbekannt ist der Trojaner nicht. Zumindest Bitdefender hällt Informationen bereit. (Habe ich jetzt öffentlich auf anhieb gefunden)
Schon geändert mit dem Link. 🙂
Mich würde es genau so interessieren und werde da auch am Ball bleiben. Hoffe nur, dass es nicht zum ernsten Problem wird. Dieser Trojaner hat es insbesondere auf Adsense Anzeigen abgesehen. Doch wenn das Prinzip erstmal steht und funktioniert, könnte das mit jeglicher Werbung gemacht werden. Dann hätte man wirklich einen Grund, warum die Einnahmen im Internet bei vielen zurückgehen. 😀
…und es kommt noch viel schlimmer! Stell dir vor, z.b. onlinebanking.meinebank.de wird auf evil_server.vu umgeleitet durch einen Eintrag in der Host-Datei… Es sind ganz neue Wege des Phishing möglich… Und das alles nur, weil Windows sich selbst nicht ausreichend schützen kann… Eine dringend empfohlene Schutzmöglichkeit wäre allerdings, einen eingeschränkten Useraccount in Windows anzulegen, den man zum Surfen nutzt. 90% der Windows-User surfen doch sicherlich mit dem Administratoraccount… Dann müsste die hosts-Datei gegen Editieren gesichert sein… Müsste mal jemand ausprobieren, der Windows hat 🙂
so far…
hmm… tja… ich habe auch keine Ahnung, wieso ich auf ne andere ip komme 🙂 Aber befallen dürfte mein Rechner nicht sein, und meine /etc/hosts enthält nichts merkwürdiges 😀 Vllt. unterhält Google für Adsense regional unterschiedliche Server bereit? naja. gibt schlimmeres 😀
Solche Seiten nicht zu besuchen, wäre natürlich die beste Idee – ich will Saladin ja auch nicht unterstellen, sich illegale keys etc. runterzuladen… – aber gerade in der Gamerszene holt man sich ja vllt. ab und zu gerne mal einen keygen oder ein paar serials… Dann wird illegal eben mit illegal bestraft, indem sich betreffende Leute Viren einfangen… Pech gehabt 🙂 Sag btw. mal Bescheid, wenn du ein gefälschtes Google-Ads bekommst, bzw. wenn du den Virus mal zum Download bekommst oder herausfindest, was genau der in die Hostdatei schreibt… würde mich mal interessieren 🙂
so far,
Fiete