Viren, Spyware, Datenschutz 11.218 Themen, 94.243 Beiträge

News: Suchen mit Hackern

Wurm spielt Google

Redaktion / 12 Antworten / Flachansicht Nickles

Eine neue Wurm-Variante ist im Umlauf. Der P2Load-A nistet sich per Filesharing-Systemen auf den PCs ein. Momentan betroffen: Shareaza und IMesh Benutzer. Das interessante am neuen Wurm: Verwendet der Benutzer des infizierten PCs Google, dann kommen die Suchresultate nicht vom Searchengine, sondern von einer Site, die unter der Kontrolle der Angreifer liegt. Die sieht aber genauso aus wie Google, und liefert auch im großen und ganzen die gleichen Ergebnisse. Einziger Unterschied: Die 'sponsored Links' stammen nicht von Google, sondern von den Hackern angeschlossenen Werbeverteilern.

bei Antwort benachrichtigen
PaoloP Redaktion „Wurm spielt Google“
Optionen

Ich hab neulich den PC einer Bekannten gereinigt die meinte Ihr Google funktioniert nicht. Nachdem ich Ihr erklärt habe das Sie sicher kein eigenes Google hat habe ich mir das mal angesehen.

Irgendenwas hatte die DATEI "hosts" im Verzeichniss
"%winroot%\system32\drivers\etc"
manipuliert.

Für die welche es nicht wissen in dieser Datei werden
Namensauflösungen für IP-Adressen vorgespeichert. Alle von Windows
aufgelösten DNS über die API-Funktion gethostbyname() können hier vorgespeichert werden. Man kann im IE nicht erkennen auf welcher IP-Adresse man tatsächlich gerade ist. Wenn in dieser Datei also jemand
google.de 666.6.6.6
einträgt, danach neustartet oder mit ipconfig den DSN-Cache erneuert
landet er im IE wenn er "google.de2 eintippt auf der Ip 666.6.6.6 statt auf der echten IP von google.de Wenn die Seite Tatsache wie Google aussieht ist der Bluff perfekt. Nicht auszudenken wenn das mit Ebay-Daten usw. auch passiert... Wenn der Bösewicht dann in die Mitte stellt ("Man in the Middle") und das nur durchreicht und dabei die Passwörter trackt ist der Schaden unter Umständen gross.

Normalerweise steht in der Datei "hosts" nur:
127.0.0.1 localhost

Der Wurm auf dem PC meiner Bekannten hatte dabei alle denkbaren Schreibweisen von Google mit allen nur denkbaren Domains auf eine andere IP umgeleitet.
Das gleiche tat er auch mit yahoo und mail.yahoo.
Allerdings war die Google-Imitation fehlerhaft, es kamen keine Suchergebnisse... Meine bekannte hätte das sicher bis heute nicht bemerkt wenn das nicht fehlerhaft gewesen wäre. Erschreckt hat mich das Ihr Anti-Viren-Packet von Symantec das ohne Probleme hat durchgehen lassen. Eine kleine Text-Datei zu tracken ist ja nun nicht so schwer...


Jedes mal wenn jemand "Cloud" sagt, verliert ein Engel seine Flügel.
bei Antwort benachrichtigen
Wurm spielt Google Brezel
Wurm spielt Google xafford
Wurm spielt Google ale001
Wurm spielt Google Brezel
Wurm spielt Google Brezel
Wurm spielt Google xafford
Wurm spielt Google Brezel
Wurm spielt Google xafford
Wurm spielt Google Brezel
Wurm spielt Google PaoloP