Zacinlo – Online-Werbebetrug durch Malware

Keine Kommentare
 

Die kürzlich entdeckte Malware Zacinlo treibt vermutlich schon seit 2012 ihr Unwesen. Das allein sagt schon einiges über ihre Gefährlichkeit aus. Denn die meisten Schadprogramme nutzen bis dato unbekannte Sicherheitslücken und sind darauf ausgelegt, die kurze Zeitspanne zu nutzen, bis die Lücke geschlossen wird und der Schädling überdies von Anti-Malwareprogrammen erkannt wird.


Werbeanzeige im Internet mit der Aufschrift "YOUR AD HERE"

Seit 2012 treibt ‘Zacinlo’ sein Unwesen und kann von Virenscanner nicht eliminiert werden. (Bloomicon / shutterstock.com)

Zacinlo funktioniert anders. Dieser Schädling ist immun gegen Virenscanner und gegen alles andere, was Sie im Fall einer Infektion tun können – außer einer kompletten Neuinstallation.

Was tut Zacinlo?

Das eigentliche Ziel der Hacker besteht darin, auf betrügerische Weise Werbeeinnahmen zu erzielen. Zu diesem Zweck werden künstlich Klicks auf Anzeigen generiert. Das geschieht auf unterschiedliche Weise. Manchmal werden einfach Anzeigen auf Websites gegen unsichtbare Anzeigen im Hintergrund ausgetauscht. In anderen Fällen werden unsichtbare Browserfenster geöffnet, in denen Klicks auf Anzeigen simuliert werden. Das ist ärgerlich genug, aber viel dramatischer ist, was Zacinlo noch alles könnte. Zacinlo ist ein Rootkit, das die volle Kontrolle über den Rechner hat.

Rootkits – gefährliche Alleskönner

Der Begriff Rootkit bedeutet frei übersetzt „Softwarepaket mit vollen Zugriffsrechten“. Die grundlegende Funktionsweise eines Rootkits ist schnell erklärt: Alles, was eine Software auf einem Rechner tut, tut sie, indem sie bestimmte Funktionen des Betriebssystems aufruft. Ein Rootkit fängt diese Aufrufe des Betriebssystems ab und führt stattdessen eigene Funktionen aus. Wenn Sie zum Beispiel den Windows Explorer öffnen, sehen Sie genau die Verzeichnisse und Dateien, die Sie das Rootkit sehen lässt. Das gilt auch für jede Software, also zum Beispiel auch für Virenscanner. Das ist einer der Tricks, mit dem Rootkits Schutzprogramme austricksen können. Am einfachsten stellen Sie sich vor, dass ein Rootkit alles kann, was auch ein Systemadministrator tun kann. Der Downloader von Zacinlo deaktiviert beispielsweise den Echtzeitschutz des Windows Defenders während der Installation neuer Komponenten und aktiviert ihn anschließend wieder.

Rootkits sind modular aufgebaut

Zacinlo ist wie andere Rootkits deswegen auch in der Lage, seine Funktionalität zu erweitern, indem es weitere Komponenten herunterlädt. Gewissermaßen entspricht Zacinlo dem verlorenen Wohnungsschlüssel, bei dem es auch wenig beruhigend ist, wenn bisher nichts Schlimmes passiert ist.

Verbreitung über s5Mark

Verbreitet wird Zacinlo über die Software s5Mark. Diese tarnt sich als kostenloser und anonymer VPN-Dienst, mit dem angeblich sichere Verbindungen im Internet aufgebaut werden können. Üblich ist, dass in solchen Fällen unerwünschte Komponenten zusätzlich zur eigentlichen Funktion der Software geladen werden. Das ist in diesem Fall anders, s5Mark installiert ausschließlich Zacinlo und tut überhaupt nichts anderes. Es wird lediglich eine einfache grafische Oberfläche angezeigt, die ein VPN vortäuscht.

Vorsicht vor Adware

Zacinlo wurde von Bitdefender entdeckt. (Dort finden Sie auch den Link zum kompletten Report, der allerdings schwer verdaulich und sehr umfangreich ist.) Die Entdecker thematisieren darin auch, dass es jenseits eindeutig krimineller Programme wie Zacinlo inzwischen einen großen Graubereich von Adware gibt, der zwar formal legal ist, aber eine bedenkliche Nähe zu Spyware aufweist. Ursprünglich bezeichnete der Begriff Adware Softwareerweiterungen, die Programmen sinnvolle Zusatzfunktionen hinzufügten und die kostenlos von Unternehmen und Privatpersonen zur Verfügung gestellt wurden.

Die Grenzen verschieben sich

Heute findet sich in den Lizenzbestimmungen (denen man bei der Installation mit einem schnellen Klick zustimmt) nahezu jeder Adware Hinweise, welche Daten gesammelt und weitergegeben werden. Außerdem weist Adware immer häufiger Zusatzfunktionen auf, mit denen Usern teilweise die Kontrolle über den Rechner entzogen wird. Das für den durchschnittlichen Nutzer vielleicht wichtigste Beispiel sind die Toolbars, die große kostenlose Mail-Anbieter aggressiv auf ihren Seiten bewerben. Angeblich wird damit die Nutzung des Postfachs deutlich komfortabler. Stattdessen wird die Standardsuchmaschine ausgetauscht, es werden Werbe-Popups angezeigt und Startseite wird geändert. Wenn Sie die Einstellungen zurücksetzen, werden Ihre Änderungen beim nächsten Start wieder überschrieben. Selbst eine Deinstallation der Adware hilft nicht, weil einige Änderungen erhalten bleiben. Am Ende muss der Browser komplett komplett entfernt und neu installiert werden.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen