Im Internet lauern die Gefahren an jede Ecke. Böse Trojaner, Backdoors, Spyware oder sonstige Schadsoftware kann man sich ruck zuck auf prinzipiell jeder Internetseite einfangen. Und die Tricks der Betrüger werden dabei immer besser. Ein wachsames Auge und eine gesunde Portion Misstrauen schadet dabei nicht. Eine als hilfreich getarnte Website kann dabei schwer ins Auge gehen. Mit perfiden und ausgefallenen Tricks versuchen die bösen Buben den leichtgläubigen Benutzer dort aufzufangen, wo es am meisten weh tut: beim Befall des eigenen Computers. Doch wer denkt dabei an eine unlautere Geschäftsidee im Zusammenhang mit Pandora? Wohl keiner.
Den neusten Trick verfolgt die Internetseite scanner.lastdefender.net. Ich bin über deren „hilfreiches“ Angebot gestolpert, als sich plötzlich über eine andere Webseite deren Scanner meldete.
[Zur Großansicht auf die Vorschau klicken]
Ein professionell aufgemachter Online-Scanner startete sich und durchsuchte meine Festplatte. Zumindest erweckt es diesen Anschein. Schon beim Scan wurde ich stutzig, denn die dort aufgeführten und gefundenen Dateien gibt es auf meinem System gar nicht. Der Scanner präsentierte mir ausnahmslos irgendwelche Windows-Dateien, z.B. ipsecsnp.dll oder driverquery.exe. Auf meinem Linux-System gibt es allerdings keine dieser Dateien. Also habe ich dem Spiel erst einmal bis zum bitteren Ende zugeschaut. Der Scan verlief komischerweise sehr schnell. Aber welcher Windows-DAU merkt es schon, dass dies nicht der Realität entsprechen kann. Die Angst vor einem Virenbefall wiegt in solch einem Moment viel größer. Der Scanner meldete schnell die ersten infizierten Dateien. Hilfe, ist mein System von einem Virus befallen? Es kann viel schlimmer. Ganz viele Dateien waren anscheinend betroffen. Am Schluss des Scans zeigte mir das „Programm“ dann die ernüchternde Wahrheit:
[Zur Großansicht auf die Vorschau klicken]
Es wurden zwei Backdoors (Win32/NTRoot und Win32/Sivuxa.) und ein Trojaner (Trojan.Caiijing) gefunden. Au backe! Bei einem Windows-DAU ist spätestens jetzt der Puls auf 180 und die Finger fangen an zu schwitzen. Doch das eigentliche Sicherheitsrisiko kommt erst noch. Klickt man nun unbedarft irgendwo auf die Internetseite, es muss nicht einmal der Button „Remove All“ sein, wird ein Windowsprogramm (install_ltd.exe) herunter geladen. Klar, danke für den Service. Schließlich möchte man die Schädlingssoftware ja auch so schnell wie möglich wieder loswerden. Auch wird man dazu aufgemuntert, dem ActiveX-Control den Zugriff auf den Internet Explorer zu erlauben. Sicher ist sicher. Die Software ist ja auch von Pandora. Hat man irgendwo schon mal gehört. Ist irgendwas mit Antiviren-Software. Schnell ist im guten Glauben die Software installiert.
[Zur Großansicht auf die Vorschau klicken]
Auch das eigentliche Windowsprogramm meldet fortan einen Virenbefall auf meinem Rechner. So öffnet sich ein Warnfenster mit der Auswahlmöglichkeit „löschen“, „heilen“ oder „überspringen“. Wer den Schädling unbedingt los haben möchte, muss das Programm registrieren. *zwinker* Diesen Service gibt es allerdings nicht für umsonst. Um eine gültige Lizenz erwerben zu können, wird man auf www.thelastdefender.com/buy.php geleitet. Ein Klick auf „Credit Card“ leitet einen abermals um auf secure.pandora-software.com/cgi-bin/… Ab dieser Stelle wird es kriminell. Denn für die Software soll man knappe 50 US-Dollar per Kreditkarte zahlen. Man wägt sich zudem in guter Sicherheit, denn schließlich lautet die Domain „pandora-software.com“. Eine Whois-Abfrage zu der Domain fördert allerdings etwas seltsame Daten zu Tage:
ThePayOnline Company Mark D Frank (nike525252@*****) Cleveland Ohio
Wo ist die Pandora Software? Wieso lautet der Registrar Mark D Frank und hat eine ziemlich merkwürdige E-Mailadresse bei Yahoo? Ein Betrüger? Wer weiß. Wer spätestens auf dieser Internetseite die Daten seiner Kreditkarte eingetragen hat, muss mit bösen Spätfolgen rechnen.
Ein bisschen tiefer recherchiert, fällt mir auf der Seite www.pandora-software.com der Name Oleg Dvorezky ins Auge. Ein paar Google-Anfragen später ergibt sich folgendes Bild. Nachfolgende Websites verfahren alle nach dem selben Prinzip und sind höchst wahrscheinlich alle Teil des Internetbetrugs:
- easyspywarecleaner.com
- infestop.com
- i-kerberos.com
- lastdefender.com
- lastdefender.net
- pandora-software.com
- perfectcleaner2007.com
- spyaway2007.com
- spy-rid.com
- stable2.com
- winifixer.com
Viele der Domains sind über den Anonymisierungsdienst privacyprotect.org oder über den Hoster estdomains.com registriert worden. Die Spur verliert sich irgendwo in Russland. Auch kann ich schlussendlich nicht genau sagen, welche versteckten Backdoor-Funktionalitäten die herunter geladene Windowssoftware hat. Denn auf meinem Linuxsystem fehlen der Software die notwendigen DLLs und sonstige Windowsfunktionalitäten.
Abschließend sei noch erwähnt, dass es auch noch die Pandora Corporation gibt,welche echte und virenfreie Software vertreibt.
Hallo,
privacyprotect.org gibt die Daten des Domaininhaber frei, wenn er gegen die Bedingungen verstößt und Viren, Würme etc. verteilt.
Ich habe die Domain infestop.com und spy-rid.com gemeldet. Der Inhaber kommt aus Russland.
Wie werd ich dann die Antivirus XP 2008 wieder los. Die nervt total meldet mir jede MInute das ich 10.000de von Viren hab aber mein Viren Scanner von eTrust hat keinen einen gefunden. Wie schon beschrieben lässt sich im Programm nix machen ausser das ich auf ne seite komme die Geld von mir haben will.
Die software lässt sich weder über uninstall noch über Windows Deinstallieren oder löschen.
Was kann ich tun.
Schöne Grüße Mario
Hallo Mario.
Ich habe im Internet einen wohl hoffentlich brauchbaren Hinweis gefunden, wie Sie Antivirus XP wieder loswerden können:
de.pcthreat.com/parasitebyid-6952de.html