Freitag, 1. April 2011

Erschreckende Virtualwelten

Gestern habe ich über einen Verteiler eine Mail bekommen in der nur eine URL stand:

http://www.virtualwelten.de/ra332.html

Komisch, wer schickt schon eine Adresse ohne Text? Hier ist doch etwas faul! Da mir jedoch mit NoScript wahrscheinlich nichts passiert klicke ich trotzdem auf den Link.

Die Seite sieht dank NoScript völlig entstellt aus. Ein Haufen Script mit "antivir" im Namen wurden geblockt. Auch die Domain zeigt nun antivir1.mooo.com. Da war also eine Weiterleitung dazwischen! Ob die dort jemand hinein geschummelt hat?

Auf virtualwelten.de ohne die Unterseite ra332.html sieht man eine ganz normale private Seite. Nicht besonders gut gemacht, aber nicht der Typ von Webseite die einem etwas böses will. Wahrscheinlich wurde die Seite schlecht gewartet und war dementsprechend einfach zu hacken.

Doch auf was wurde hier weitergeleitet? Strg-U... Ein kurzer Blick in den Quellcode der Seite lässt vermuten, dass hier ein Virenscanner simuliert wird. Die Seite wird behaupten man habe einen bösen Virus und den wird man nur los wenn man die tolle Software kauft. Die Software zeigt dann aber nur noch mehr falsche Warnungen an und will noch mehr Geld. Man nennt das Scareware.

Vielleicht wird sogar noch nach Schwachstellen im Browser gesucht um einen Trojaner zu installieren? Dann hat man auch garantiert etwas, dass man entfernen muss. Doch auf die Schnell finden sich keine Anzeichen dafür. Eins ist jedoch klar: Die Seite muss schnellst möglich aus dem Netz! Also kurzerhand bei denic.de die Domain eingegeben und die Inhaberin festgestellt, doch die steht leider nicht im Telefonbuch. Eine kurze Mail an den Tech-C Admin des Providers bei dem die Seite liegt sollte jedoch genügen.

Und wirklich, am nächsten Morgen ist virtualwelten.de verschwunden und die Weiterleitungsadresse antivir1.mooo.com wird von meinem Browser als gefährlich eingestuft und der Aufruf wird verhindert.