Der Trojaner modifiziert die Einstellungen für „AutoConfigURL“ und „AutoConfigProxy“ in den „Internet-Einstellungen“ eines Windows-Rechners. Bei jeder im Anschluss durchgeführten Suchanfrage wird dann eine PAC-Datei (Proxy Auto-Config) aufgerufen, die den Browser anweist, die Suchanfrage an eine bestimmte Adresse umzuleiten. Das bietet den Kriminellen die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über AdSense Anzeigen platzieren.

Offenbar kommt es den Klickbetrügern aber nicht darauf an, die Nutzer auszuspionieren oder Daten von ihnen zu sammeln. Stattdessen wollen sie nur deren Anfragen so lange wie möglich auf ihre Seiten umleiten. Um dies zu erreichen, unternehmen sie einiges, um die Suchergebnisse so authentisch wie möglich erscheinen zu lassen.

Unter Umständen werden in der Statusleiste des Browsers Nachrichten wie „Waiting for proxy tunnel“ oder „Downloading proxy script“ angezeigt. Außerdem dauere es ungewöhnlich lange, bis die Google-Seite geladen werde, und fehlten die bei der echten Google-Suche über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben „o“.

Die Malware gelangt üblicherweise über eine modifizierte MSI-Datei auf den Rechner. Diese Installationsdatei stammt laut Bitdefender ursprünglich von weit verbreiteten, legitimen Programmen wie WinRAR 5.2, WinRAR 5.11, YouTube Downloader 1.0.1, WinRAR 5.11 Final, Connectify 1.0.1, Stardock Start8 1.0.1 oder KMSPico 9.3.3 und wurde mit Hilfe von Advanced Installer manipuliert. Sie sorgt dann dafür, dass durch die geänderten Einstellungen jede Anfrage auf einer Seite, die mit https://www.google oder https://cse.google beginnt, zur IP-Adresse 93.*.*.240 über Port 8484 umgeleitet wird. Da die Anfrage über HTTPS erfolgt, werden Nutzer an dieser Stelle allerdings darauf hingewiesen, dass es Probleme mit dem Zertifikat dieser Seite gibt.

Doch auch daran haben die Kriminellen gedacht. Die Datei Update.txt lädt ein Root-Zertifikat herunter und installiert es, so dass jede Verbindung, die über eine in der PAC-Datei festgelegte Verbindung erfolgt, als sicher gekennzeichnet wird. Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen – was in der Praxis aber nur sehr wenige tun –, stellen sie fest, dass als Herausgeber dort „DO_NOT_TRUST_FiddlerRoot“ angegeben ist.
bitdefender_falsches-zertifikat-redirector-paco-684x513
Wirklicher Schutz bietet Ihnen nur die Sophos Security Gateway mit Sandstorm.
Es gibt zur Zeit nur diesen wirksamen Schutz gegen diese Trojaner.

(Quelle: www.zdnet.de)