DoubleClick und Zedo Anzeigen von Google-Tochter verbreiteten Trojaner
Google-Campus in Mountain View: Infizierte Online-Werbung der Tochter DoubleClick
Foto: Ole Spata / dpaAm Freitag teilte das Antivirus-Unternehmen Malwarebytes mit, dass es einen Trojaner in Werbeanzeigen auf den Websites von Last.fm, "The Times of Israel" und "The Jerusalem Post" entdeckt hatte. Offenbar wurden die infizierten Anzeigen von Googles Werbefirma DoubleClick und dem Online-Werbeunternehmen Zedo ausgeliefert, vermutlich waren noch viele weitere Websites betroffen.
Durch die Marktmacht von DoubleClick und Zedo könnten die gefährlichen Werbeschaltungen auf Millionen von Computern angezeigt worden sein. Google hat gegenüber "The Verge" bereits ein Problem eingeräumt: "Unser Team weiß von dem Problem und unternimmt die entsprechenden Schritte." Internetnutzer, die ein aktuelles Virenschutzprogramm oder ein Programm zur Beseitigung aktiver Inhalte in Websites installiert haben, dürften allerdings nicht gefährdet gewesen sein.
Bedenklich aber: Malwarebytes hat die ersten Trojanerspuren bereits am 30. August entdeckt. Erst zum Wochenende registrierten die Virenfallen des Unternehmens ein Ende der Gefahr: "Die letzte Aktivität verzeichneten unsere Honigtöpfe gegen Mitternacht", schrieb das Unternehmen am Freitag. Mit Honigtöpfen sind hier speziell präparierte Rechner gemeint, die sich bewusst Viren oder Trojaner einfangen.
Knapp drei Wochen dürften die Kriminellen also unentdeckt geblieben sein - und möglicherweise Millionen von Rechnern über die Werbeanzeigen in Gefahr gebracht haben.
Virus zielte auf ältere Betriebssysteme
Der "Zemot"-Trojaner ist ein konventionelles Schadprogramm , das Internetkriminelle als Vehikel zur Infektion von Computern mit einer ganzen Reihe weiterer Schadprogramme benutzen. "Zemot" nistet sich auf einem Computer ein und lädt die eigentliche Nutzlast von einer Download-URL nach. Diese Nutzlast können zum Beispiel Programme zum Spam-Versand, zur Manipulation von Onlinebanking oder zur Spionage sein. Die gute Nachricht: "Zemot" ist auf veraltete 32-Bit-Betriebssysteme wie Windows XP ausgelegt - wahrscheinlich, weil die einfacher zu infiltrieren sind. Das heißt, dass von den potenziell Millionen angegriffenen Computern nur ein kleiner Prozentsatz auch wirklich gefährdet war.
Dass unbescholtene Werbeunternehmen solche gefährlichen Anzeigen ausliefern, ist keine Seltenheit. Angreifer müssen dazu - in den automatisierten Schaltsystemen - Werbeanzeigen buchen, die externe Inhalte aufrufen, die nicht von den Sicherheitssystemen der Werbefirmen entdeckt werden können. Die Werbefirmen unternehmen viel, um solche Nachlademechanismen zu entdecken und zu unterbinden. Hundertprozentigen Schutz gibt es aber nicht - zumal die Angreifer eine lukrative Beute vor Augen haben: Gelingt das Aushebeln der Sicherheitsvorkehrungen, können sie ihre Schadprogramme an extrem viele Computer ausliefern. Deswegen sind große Werbefirmen wie DoubleClick stärker gefährdet als andere.
Auch SPIEGEL ONLINE wurde einmal Opfer von manipulierten Werbebannern: Im April 2013 enthielt eine Anzeige, die über einen externen Dienstleister zugeschaltet wurde, Schadsoftware. Nach Hinweisen des BSI und des IT-Lagezentrums der Sparkassen hat der externe Dienstleister das Problem umgehend behoben. Die Schutztipps von damals gelten noch heute.
