27
Jan
2009

Überraschungsei

Was für nette Überraschungen man nicht erleben kann, wenn man im Internet surft. Eigentlich wollte ich ja nur an einer langweiligen Präsentation arbeiten und eine Textbox im Textsatzsystem LaTeX erstellen - und weil ich meine Kompetenz vor langer Zeit an Google outgesourct habe, wollte ich eben diese Suchmaschine konsultieren.

Google Suche LaTeX textbox

Die Universität Edinburgh hatte bezüglich LaTeX ja schon mal öfters einen ordentlichen Tipp parat. Aber weil ich auf das injizierte PHP-Skriptlein mit Redirect keine Acht gegeben habe diesmal eher nicht. Sehr um mein Wohlbefinden besorgt, warnt mich die Seite, die nun mit Edinburgh leider gar nicht mehr viel zu tun hat, vor Gemütlichkeitsübertretungen. Und das alles im Windows-Explorer Look, der so gar nicht zu meinem Linux passen mag:

Live 5 Scan Phishing Seite

Zum Glück weiß die Seite, wie ich meine Systemleistung verbessern kann und die ganzen Win32-Viren, die sich auf meinem Linux eingenistet haben sollen, loswerden kann und offeriert mir gleich den entsprechenden Installer.

Live 5 Scan Installer

Doch da muss ich mich erst einmal über eine unfassbare Frechheit echauffieren! Zuerst verspricht mir dieser freundliche Dienstleister, all meine Performance- und Virenprobleme auf einen Schlag zu lösen und dann funktioniert sein Programm doch tatsächlich nicht auf meinem Linux.

Wine Ausführung in Linux-Shell

Frustriert kehre ich zur Suchanfrage zurück und klicke erneut auf den Link. Und siehe da - offensichtlich aus dem großen Bedürfnis heraus, mir doch noch einen Service anbieten zu wollen, wird mir gleich die Seite eines weiteren Dienstleisters gezeigt. Scantrononline attestiert meinem Linux auch den Befall mit einem Win32-Wurm. Na wenn gleich zwei unabhängige Seiten das behaupten, muss ja was dran sein.

Scantrononline Phishing Seite

Aber aufgrund unsäglicher Diskriminierung funktioniert auch die Abhilfe, die mir dieser Dienstleister anbietet, nicht auf meinem System. In enttäuschter Resignation kehre ich zur Suche zurück und klicke noch einmal auf den Überraschungsei-Link. Das System, dem offensichtlich große Empathie gegeben ist, erahnt meine Enttäuschung und präsentiert mir, wie zum Trost, eine Pornoseite.

OnlineXTube Phishing Seite

Wohl um mir und meinem marktanteilsbegrenzten Betriebssystem den letzten Funken an Selbstwertgefühl zu nehmen, funktioniert aber auch der zum Porno-Spechteln benötigte TubeViewer.exe nicht. Da bleibt mir dann wohl doch nur mehr eisernes Arbeiten an meiner Präsentation, anstatt all die Annehmlichkeiten zu genießen, die das Internet dem Windows-User bietet.

PS: Das soll jetzt kein Windows-Bashing sein. Eigentlich wollte ich nur humorvoll über das ernste Problem schreiben das entsteht, wenn schädlicher Code über Sicherheitslücken in seriöse Domains injiziert wird und es dadurch dem Nutzer immer schwieriger fällt, seriöse Seiten von kriminellen zu unterscheiden. Ich habe übrigens sowohl das Google-Phishing Team als auch das University of Edinburgh Web-Team von der Lage informiert, bevor ich diesen Artikel gepostet habe.

Trackback URL:
https://keinspass.twoday.net/stories/5475757/modTrackback

thumbsucker - 27. Jan, 23:11

Sehr genial ^^
Ein Bekannter meines Vaters hatte sich vor kurzem etwas ähnliches mit seinem komplett fragmentierten XP SP Null (256Ram, geht wie Sau) eingefangen.
Plötzlich hatte er Kaspersky 2009 drauf - auf dem Desktop, im Startmenü und bei den Programmen (als täuschend echtes Popup - für den Durchschnittsuser schwer zu definieren), welches ihm zig Viren diagnostizierte. Das Ding dann runterzubekommen war gar nicht so einfach - hat mir (mal wieder) 2 Stunden meiner Freizeit gekostet.

bellerophon - 27. Jan, 23:21

Besser wäre da fast, das System ganz neu aufzusetzen, also je nachdem was es ist. Wenn es nur Scareware ist, ist die Gefahr nicht so groß, aber falls eine Trojaner sich zusätzlich als Rootkit eingenistet hat, könnte mal was vom Konto fehlen. So ein Trojaner hätte natürlich nur ein sehr geringes Bedürfnis, sich bemerkbar zu machen.

Also nicht, dass ich dich da beunruhigen mag, kann genauso gut sein, dass außer dem Scareware-Teil gar nichts ist.
thumbsucker - 27. Jan, 23:33

Dieses Kaspersky-Ding war nur Scareware.
Habe dann Spybot installiert, ihn mal durchlaufen lassen (eine Qual mit dieser Hardware), die s.m.a.r.t Werte der Festplatte ausgelesen, den PC halbwegs arbeitsfähig gemacht und ihm geraten, sich schleunigst ein neues Gerät zu besorgen - was er am nächsten Tag auch getan hat. Nun nennt er ein Vista Notebook sein Eigen, das ich ebenfalls unter meine Fittiche nehmen durfte - und welches mir nochmals 5 Stunden Zeit gekostet hat, um den ganzen Schrott zu entfernen und funktionierende Vollversionen zu installieren.
Mittlerweile hat er dieses Gerät aber vermutlich schon ordentlich zerschossen - 61 jähriger Pensionist, der gern überall hinklickt, wo's schön bunt leuchtet und blinkt ;-)
thumbsucker - 28. Jan, 01:21

@wvs

Das war auch nicht gegen Pensionisten - ich finde es im Gegenteil sogar noch bewundernswert, dass er im Ruhestand noch beginnt, sich mit Computern zu beschäftigen. Allerdings gehört er halt zu der unbelehrbaren Sorte, die gerne wüst durch die Gegend klickt und jede Freeware oder Testversion von diversen Heft-CD's a la eMedia und ComputerBild installieren - entsprechend schauen die Systeme dann auch aus ;-)

Das kann meine Schwägerin genauso gut - und die ist erst 25, das ist also kein altersbedingtes Phänomen ^^

Btw ich habe ein kleines Problem mit meiner neuen Template: rufe ich mein Blog ohne Adblock auf, zeigt sich zwischen den Artikeln Adsense-Google-Müll. Den fraglichen Code habe ich schon aus der HTML-Vorlage gelöscht, Adsense habe ich auch nicht angemeldet - die Werbung wird trotzdem noch eingeblendet. Habt ihr da eventuell einen Ratschlag parat?
bellerophon - 28. Jan, 11:16

Verantwortlich ist ganz offensichtlich jener Teil im Sourcecode:
<div class="gapad">
<!--
google_ad_client = "pub-5469344909203162";
google_ad_host = "pub-1599271086004685";
/* 468x60, created 11/6/08 */
google_ad_slot = "1299542406";
google_ad_width = 468;
google_ad_height = 60;
//-->
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">

</script>

</div>
der zwischen den Artikeln eingebunden wird. Wenn du das irgendwo im Quelltext findest, müsstest du das rauslöschen - vor allem das show_ads.js wäre wichtig, der Rest erzeugt nur mal den Zwischenraum zwischen den Artikeln.

Wenn du das aber nicht aus den Vorlagen HTMLs löschen kannst, musst du schauen, ob du dich irgendwo von Google Syndication abmelden kannst. Ich weiß leider nicht, an welcher Stelle dieser Teil bei Blogger eingebunden wird - wenn du Pech hast wird es erst serverseitig beim Laden der Seite dynamisch zu dem normalen HTML hinzugefügt und dann kannst du vermutlich nicht viel dagegen tun.
thumbsucker - 28. Jan, 11:35

Genau diesen Code habe ich gelöscht und bei Google Adsense bin ich nicht mal angemeldet. Muss mir das heut Abend nochmal genau anschauen, vielleicht hab ich irgendwo was übersehen.

EDIT: Der Code von Adsense war noch ein zweitesmal in der HTML-Vorlage, um ihn zu sehen, mußte man allerdings die Widget-Vorlagen erweitern. Jetzt ist er weg und ich bin werbefrei ;-)
Danke für deine Mühe!
logo

Kein Spaß

User Status

Du bist nicht angemeldet.

Archiv

Januar 2009
Mo
Di
Mi
Do
Fr
Sa
So
 
 
 
 1 
 2 
 3 
 7 
 8 
 9 
10
11
12
13
15
16
17
18
19
20
21
23
25
26
28
29
30
31
 
 

Metainformation

Suche

 

Status

Online seit 6441 Tagen
Zuletzt aktualisiert: 15. Jul, 02:09

Credits

Social bookmarking

Add to Technorati Favorites

Blogs

Besucher


ChitChat
Datenschutz
Politik
Sicherheit
Technik
Weltpolitik
Wirtschaft
WWW
Profil
Abmelden
Weblog abonnieren