Sep
17
2014

Über die Malware-Schleuder wegplaner.de

Kürzlich bin ich durch eine Bekannte auf eine äußerst freche Variante von Malware-Verteilung aufmerksam geworden. Der PC der Bekannten hatte plötzlich www.url24.info als Startseite im Browser Chrome gewählt, was mich schon etwas erstaunte. Als ich dann aber entdeckte, dass jede Suchanfrage in der kombinierten Adress- und Suchleiste von Chrome über die selbe Seite auf Google umgeleitet wird, wurde ich richtig stutzig.

Letzteres machte sich nur einen Sekundenbruchteil in der Adressleiste sichtbar, sonst schien es so als wäre weiterhin Google als Suchmaschine gewählt. Zudem war auch noch das Adblock-Plugin, das definitiv im Chrome installiert war, verschwunden – da bin ich allerdings nicht ganz sicher wieso.

Mehr durch Zufall stieß ich dann auf die Quelle des Übels. Im Download-Order befand sich die Datei route_anzeigen.exe. Bei jedem relativ versierten PC-Nutzer schrillen da schon die Alarmglocken. Eine ausführbare Datei um eine Route anzuzeigen, die genauso als PDF oder Bild gespeichert werden könnte? Eine kurze Durchforstung des Download- und Webseitenverlaufs brachte mich auch schon zum Ursprung der Datei: www.wegplaner.de.

Die Download-History auf dem PC der Bekannten.

Die Download-History auf dem PC der Bekannten.

Nun wird es aber erst richtig interessant. Denn diese Webseite wurde bei einer Google-Suche mit dem Stichwort „Google Maps Routenplaner“ auf Platz 3 angezeigt. Wie kann das sein, wenn doch offensichtlich Malware darüber verbreitet wird? Google ist ansonsten recht gut im Abwerten von solchen Seiten, gerade was so prominente Suchbegriffe anbelangt. Also wollte ich selbst testen, wie die schadhafte Datei auf dem PC gelandet war.

Aber interessanterweise wurde mir die Datei nie angeboten. Über den Link in der Downloadhistory erhielt ich nur eine Fehlermeldung, dass die gesuchte Datei nicht verfügbar sei. Und auch auf der Webseite wurde ich nicht fündig. An einem Rechner der Universität Innsbruck einen Tag darauf gelangte ich zum selben Ergebnis. Erst am dritten Rechner (meinem privaten) erhielt ich plötzlich eine Aufforderung, eine Datei setup.exe herunterzuladen und auszuführen, um die angeforderte Route von „asdf“ nach „asdf“ anzuzeigen. Ja natürlich.

route_anzeigen_download

Aufforderung zum Datei-Download.

Und damit wurde mir klar, wie es die Webseite wohl geschafft hat so hoch eingestuft zu werden und sogar von einigen deutschen Unversitäten für deren Routenplanung verlinkt zu werden: die schadhaften Dateien werden nur kurzzeitig und/oder wohl auch nicht in alle IP-Bereiche verteilt. Und der Google-Bot bekommt sie höchstwahrscheinlich auch nicht zu sehen.

Erstaunlicherweise erkennen auch nur die wenigsten Antiviren-Softwaren die schadhaften Dateien. Wahrscheinlich weil sie immer wieder neu verschlüsselt werden. Vor setup.exe hat mich Chrome allerdings gewarnt und den Download blockiert. Der Internet Explorer war so nett mir die Datei herunter zu laden. Bei Virustotal.com wurde setup.exe sogar eine reine Weste bescheinigt. Eine Analyse bei ThreatExpert zeigt aber dass die Datei zumindest die Startseite des Internet Explorer ändert und nach Hause telefoniert (zu url24.info und wegplaner.de).

actions_setup_exe

Analyse bei ThreatExpert der Datei setup.exe.

Die von der Datei route_anzeigen.exe ausgeführten Prozesse.

Die von der Datei route_anzeigen.exe ausgeführten Prozesse.

Ähnliches passiert auch beim Ausführen der Datei route_anzeigen.exe, die allerdings zusätzlich noch zwei exe-Dateien in den Temp-Ordner kopiert und ausführt (laut ThreatExpert-Analyse). Ganz schön frech, was sich da eine IT-Firma mit Sitz in Verden, Deutschland leistet. Laut Impressum gehört denen sowol wegplaner.de, als auch url24.info. Ich werde die Geschichte definitiv Google melden und mal sehen wo sonst noch.

Impressum von wegplaner.de.

Impressum von wegplaner.de.

Whois von url24.info laut Domaintools.com.

Whois von url24.info laut Domaintools.com.

 

Ähnliche Artikel

Über den Autor:

Als technikbegeisterter Physikstudent befasse ich mich gerne in meiner (teilweise spärlichen) Freizeit mit den neuesten Technik und IT Trends. Ich möchte auf meinem Blog Retracked.net einige meiner Recherchen oder einfach nur Themen, die ich spannend finde, mit euch teilen.

Kommentiere diesen Artikel

Für regelmäßige Kommentatoren gibt es ab dem 3. Kommentar doFollow-Links. Aber verwendet keine Keywords im Namen, sonst werden sie entfernt.