Drive-by-Downloads

Drive-by-Download heißt, dass beim Surfen im Internet heimlich eine Datei auf Ihren PC heruntergeladen und ausgeführt wird – sozusagen wie im Vorbeifahren (englisch: Drive-by).

Grundsätzlich gibt es zwei Wege, wie ein Drive-by-Download funktioniert: Zum einen kann ein gefährliches Skript auf prinzipiell jeder Webseite versteckt sein. Außerdem schleusen Kriminelle Banner in Werbenetze ein, die dann auf seriösen Webseiten angezeigt werden und Ihren PC infizieren.

Die erste Methode, über die Sie Bescheid wissen sollten, ist das Verstecken eines schädlichen Skripts direkt in einer Webseite.

Viele Anwender meiden Webseiten, die etwa den Download von Raubkopien anbieten, weil sie dort mit einem Drive-by-Download rechnen – nicht selten zu Recht. Eine Gefahr sind aber auch immer wieder seriöse Webseiten, die gehackt und dann mit verborgenem Schadcode manipuliert werden.

So wurde etwa auf der zentrale Webseite der Sparkassen in Deutschland (www.sparkasse.de) im Februar dieses Jahres ein Iframe versteckt, das einen Trojaner verbreitet hat. Wie das funktioniert hat, lesen Sie im Abschnitt „Versteckte Iframes“.

Die Webseiten der einzelnen Sparkassen vor Ort, über die das Online-Banking läuft, waren nicht betroffen.

Die zweite Methode ist das Einschleusen von gefährlichen Bannern über Werbenetze. So gelangen die Kriminellen auch auf seriöse Webseiten, ohne sie zum Beispiel zu hacken.

Viele Werbenetze sind international tätig und vermarkten freie Werbeplätze auf Webseiten als Pakete an Subunternehmer. Diese teilen die Kontingente oft erneut und vermarkten sie weiter. Das System ist unübersichtlich und ermöglicht es Internetbetrügern immer wieder, manipulierte Banner einzuschleusen.

Es wurden auch Fälle bekannt, bei denen sie eigene Server einrichteten, in die großen Werbenetze von Google und Microsoft einklinkten und dann darüber eigene Banner verteilten. So gelangten manipulierte Banner auf die in den USA beliebten Webseiten Msnbc.com und Scout.com.

Der eigentliche Angriff auf den PC des Anwenders erfolgt dann mit einem mit Hilfe des Banners geladenen Skript. Das kann etwa wieder ein verstecktes Iframe sein oder ein Skript, das eine Sicherheitslücke in Flash auszunutzen versucht. Mit Virenbaukästen wie Blackhole, die im Untergrund kursieren, lassen sich diese Skripts erstellen.

Das Skript versucht dann zum Beispiel, das Javascript-Modul im Browser mit einem Pufferüberlauf zum Absturz zu bringen. Dadurch lässt sich Code außerhalb der schützenden Browser-Sandbox ausführen. Dieser Code lädt dann den eigentlichen Schädling auf den PC herunter und installiert ihn, etwa den Trojaner Zeus.

So schützen Sie sich: Sie haben mehrere Möglichkeiten, sich gegen Driveby-Downloads zu schützen.

Erstens: das Ausblenden gefährlicher Banner mit Adblock Plus. Zweitens: das Deaktivieren von Javascript im Browser mit Noscript. Drittens sollten sowohl Browser als auch in ihm installierte Plug-ins immer auf dem neuesten Stand sein, damit die bekannten Sicherheitslücken darin geschlossen sind.

Nicht mehr benötigte Plug-ins sollten vom PC entfernt werden. So brauchen viele Anwender zum Beispiel Java nicht.