'Google adverteert malware'
Gepubliceerd: Donderdag 18 december 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Onderzoekers van Websense waarschuwen dat het aanklikken van links in Google-advertenties voor nare verrassingen kan zorgen.
Zo leverde een recente zoekopdracht voor Winrar onder meer een gesponsorde link op naar een 'spyware-vrij' exemplaar van de applicatie. Gebruikers die de betreffende software ophaalden en installeren, halen zich de nodige problemen op de hals.
Winrar wordt weliswaar op de pc geïnstalleerd, maar tegelijkertijd wordt ook het kwaadaardige bestand explore.exe uitgevoerd. Dat programma past de hosts-file op de pc aan, zodat de gebruikers van de besmette pc bij het bezoeken van diverse sites een nep-pagina krijgen voorgeschoteld. Het gaat daarbij om enkele populaire sites zoals die van Yahoo, Google, MySpace, YouTube en Facebook.
Daarnaast zorgt explore.exe ervoor dat elke minuut een bericht op het scherm verschijnt met de tekst: "interval hehehe!!!!!". Als de gebruiker vervolgens online informatie wil inwinnen over deze irritante meldingen, krijgt hij - dankzij de aangepaste hosts-file - een waarschuwing voorgeschoteld die op het eerste gezicht afkomstig lijkt van Microsoft. Die helpt de bezitter van een besmette pc van de regen in de drup. De 'Microsoft-waarschuwing' verwijst namelijk weer door naar een nep-virusscanner.
Wie is verantwoordelijk?In het verleden maakten malware-makers regelmatig gebruik van search engine cache poisoning op hoog in de Google-zoekresultaten terecht te komen. Maar door gewoon te betalen voor een Google-advertentie kunnen cybercriminelen zich die moeite nu besparen, constateert onderzoeker Elad Sharf van Websense.
Overigens roept de zaak wel een interessante vraag op, meent Sharf: wie is er verantwoordelijk? "Is Google schuldig omdat het bedrijf niet controleert of er via de geadverteerde links malware wordt aangeboden? Of ligt het aan de slecht geïnformeerde gebruiker die op deze manier een infectie oploopt?" Google laat in een reactie weten dat het bezig is om de dubieuze sites uit het advertentienetwerk te gooien.
Overigens maken cybercriminelen niet alleen gebruik van Winrar om internetgebruikers te benadelen. Volgens het weblog Security Fix kunnen zoekopdrachten op Firefox en de Adobe Flash Player eveneens leiden naar dubieuze advertenties in de zoekresultaten.
Bron: Techworld
