wetter.com verteilt Schadsoftware

Der bekannte Wetterdienst wetter.com ist aktuell in den Schlagzeilen: Beim Besuch der Seite ist man der Gefahr ausgesetzt, von Malware infiziert zu werden. Bei uns in der Firma habe ich seit gestern 2 infizierte PCs gehabt: Direkt beim Besuch der Seite wetter.com (bzw. wurden beide über Google-Suchergebnisse dort hin geleitet) wurde ein Banner vor die Anzeige gelegt, das Windows-System wäre aus Sicherheitsgründen blockiert worden, weil es durch den Besuch von Seiten mit infizierten und pornografischen Inhalten an eine „kritische Grenze“ angekommen sei. Unten wird ein „Bezahlen und runterladen“ Button angezeigt, der einem zur Zahlung eines Betrages auffordert, um das System wieder „freizuschalten“. Das Banner wird so vor die Anzeige gelegt, dass kein weiteres Arbeiten möglich ist; <Alt><Tab> und Taskmanager funktionieren nicht mehr.

Sowohl unsere Symantec Endpoint Protection, als auch verschiedene Offline-Virenscanner (von der c’t Desinfec’t CD) konnten den Virus trotz aktueller Signaturen NICHT entfernen. Im Forum von www.trojaner-board.de habe ich verschiedene Beiträge zu dem Ding bzw. seinen Artverwandten gefunden. Im Endeffekt hat mich dieser Beitrag mit Hinweis auf eine gefakete Datei „SkypePM.exe“, die im Ordner C:\Dokumente und Einstellungen\<User>\Lokale Einstellungen\Anwendungsdaten\Skype liegen könnte, auf die richtige Spur gebracht. Also flink im abgesicherten Modus gestartet, mit Autoruns unter „Logon“ den Eintrag im HKCU Zweig des kompromittierten Users ausfindig gemacht, gelöscht und die entsprechende Datei vernichtet. Neustart, zack, anschliessend einmal Malwarebytes durchlaufen lassen, welcher auch tatsächlich nichts mehr fand. Anschliessend eine Rundmail durch die Firma, dass wetter.com derzeit unter allen Umständen zu meiden ist.

Möchte nicht wissen, wie viele wetter.com Besucher sich diesen Mist aufgeladen haben…