Das Sicherheitsunternehmen Symantec beschreibt einen Trojaner namens Tubrosa, der durch heimliches Aufrufen von YouTube-Videos Werbe-Einnahmen generiert. Die Videos der Verantwortlichen weisen bis zu mehrere Millionen Klicks auf.

Über Spam-E-Mails wird der Trojaner verteilt. Klickt der Empfänger auf einen eingefügten Link oder den Anhang, wird der Schadcode über eine Lücke im System installiert. Um welche Schwachstelle es sich hier handelt, wird von Symantec nicht erwähnt. Sollte auf dem Zielsystem kein Flash-Player vorhanden sein, wird dieser vom Trojaner installiert.

Ein infizierter Rechner ruft die Videos gleich mehrmals auf, um möglichst viele Klicks zu erreichen. Um die Gegenmaßnahmen der YouTube-Server zu umgehen, wird der Referer und Useragent des Browsers bei jedem Aufruf vom Trojaner verändert. Dadurch wird jeder Aufruf des Videos als ein Klick gewertet.

Seit August soll der Tubrosa-Schadcode im Umlauf sein. Die meisten infizierten Rechner befinden sich in Mexiko, Südkorea und Indien.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE