Google sieht sich einer gefährlichen Cyber-Attacke ausgesetzt. Ein Trojaner entführt Googler beim Klick auf eine Trefferliste auf gefälschte Seiten, um so an sensible Passwörter zu gelangen . Über 1 500 Web-Seiten verlinken bereits unwissentlich auf den Google-Umleiter, gut 80 Prozent mehr als noch vor einer Woche.

Die Angriffe sind mit traditionellen Mitteln kaum zu stoppen, fürchtet Mary Landesman von Scansafe in London. Das Problem: Weder Google noch die „entführten“ Webseiten können viel zur Abwehr unternehmen.

Der Trojaner (Troj/JSRedir-R) selbst wird von Hackern mit Vorliebe auf seriösen Webseiten platziert. Wird eine davon aufgerufen, lädt er von einer anderen Webseite – aktuell gumblar.cn aus China - weitere Schädlinge nach. Einer von ihnen klinkt sich unbemerkt in die Anzeige von Suchergebnissen durch Google ein. Die Google-Trefferleiste erscheint vordergründig völlig normal, aber statt wirklich auf die angezeigte Webseite des Sucheregebnisses wird dann unbemerkt auf eine Webseite umgeleitet, die in der Regel der Originalseite täuschend ähnlich nachgebaut ist.

Oft sind es Banken- E-Commerce oder Social-Networkingseiten, kurz alles, wo man sensible Passwörter eingeben muss. Mit denen kann der Cyber-Kriminelle dann hinterher weiterarbeiten. Besonders beliebt sind Zugänge zu so genannte ftp-Accounts. Über ftp-Accounts werden in der Regel Web-Seiten mit neuem Programmcode versorgt. Hat der Hacker die ftp-Passwörter, kann er in aller Ruhe Teile des Original-Softwarecodes der Webseite durch eine neue Version ersetzen, die ihrerseits wieder den Gumblar-Trojaner verteilt.

Da die Google-Ergebnismanipulation ausschließlich auf dem Rechner des Nutzers stattfindet, ist der Suchmaschinenriese selber relativ machtlos, wenn ein PC erst einmal verseucht ist. Werden infizierte Webseiten erkannt, werden sie ausgelistet oder mit Warnhinweisen („visiting this site may harm your computer“) versehen, teilt Google in einem aktuellen Blog-Hinweis mit.Das führt in der Regel zu massiven Einbrüchen im Besucherstrom einer Webseite mit entsprechenden Folgen für Umsatz und Werbeeinnahmen. Unter den Opfern waren laut Google so prominente Adressen wie nomura-usa.com oder rewity.com. Laut Safescan haben sich auch variety.com oder tennis.com als Trojaner-Schleudern betätigt.

Die Gumblar-Hacker erkennen aber in der Regel relativ schnell, wenn infizierte Seiten oder die mit Schadprogrammen vollgestopften Zielseiten „aus dem Verkehr gezogen“ werden und ersetzen die verbrannten IP-Adressen durch neue. „Durch die Komplexität von Gumblar sind traditionelle Abwehrmechanismen wie Viren-Signaturen und Blacklisting wenig effektiv“, so Scansafe Analystin Landesman. „Das enorme Wachstumstempo sollte alle IT-Verantwortlichen aufhorchen lassen.“ Laut Scansafe-Zahlen ist 2008 die Anzahl von Malware-Infektionen um 300 Prozent gewachsen.

Die Zahl der Webseiten, die vergangen Woche mit dem Script „Troj/JSRedir-R“ verseucht wurden, lag „sechsmal höher als bei jedem anderen Trojaner“, warnt auch Graham Cluley von Sophos in London. Insgesamt, so Cluley, werde derzeit weltweit alle 4,5 Sekunden eine Webseite mit irgendeinem Trojaner oder Virus angegriffen. Die Virenscanner von Sophos blockten jede Webseite, die versuche über den verdächtigen Code auf Gumblar zuzugreifen.

Aber auch Cluley räumt ein, das dies einer Sysifusarbeit gleichkomme. „Es sieht so aus, als ob die Hacker den Code beliebig manipulieren und verändern können“, so Cluley. Dem stimmt Landesman zu: „Die lernen sehr schnell“, sagt sie. „Zusammen mit mehreren anderen dynamischen Komponenten macht dies Gumblar so gefährlich.“ 

(handelsblatt)