Adware und Spyware: Das Finanznetz entwirren · In den Jahren 2004 und 2005 führten AOL und die National Cyber Security Alliance (NCSA) eine Studie zur Verwendung von Onlineschutzmaßnahmen

White Paper | August 2006 Seite 1

www.mcafee.com

Adware und Spyware:Das Finanznetz entwirren

Whitepaper | August 2006

White Paper | August 2006 Seite 2 2

www.mcafee.com

Inhaltsverzeichnis

Die Fakten 3

Einführung 3

Aufstieg von Adware und Spyware 3

Getäuschte Benutzer 4

Sites und Firmen, die Adware verbreiten 5

Partnerschaften 5

Überwachung 6

Zahlung (traditionelle Werbung) 7

Zahlung (Zahlung pro Adware-Installation) 8

Fazit 9

White Paper | August 2006 Seite 3

www.mcafee.com

Die Fakten

1. Die Verbreitung von Adware und Spyware nimmt exponentiell zu. Im Zeitraum von 2000 bis 2002 gab es nur etwa vierzig Adware-Familien. Diese Zahl ist in den darauf folgenden 3,5 Jahren rapide (um mehr als 1.000 Prozent) angestiegen. Im August 2006 gab es 450 Adware-Familien mit über 4.000 Varianten. (S. 3)

2. Internetbenutzer ignorieren weiterhin die Gefahren

von Spyware und Adware. In einer aktuellen Studie von McAfee SiteAdvisor.com wurde festgestellt, dass erstaunliche 97 Prozent der Internetbenutzer nicht zwischen sicheren und unsicheren Sites unterscheiden können. Damit ist die Mehrheit nur einen Klick davon entfernt, sich Spyware, Adware oder andere potenziell unerwünschte Software herunterzuladen. (S. 4)

3. Die Universität von Washington hat herausgefunden,

dass die erfolgreichsten Adware-Verteiler keine Erwachsenen- oder Pornographie-Websites sondern vielmehr Promi-News-Websites sind. (S. 4)

4. Das Adware-Geschäftsmodell ist lukrativ. In der

Anklageschrift eines Bot Herders wurde angegeben, dass die Partner-Marketing-firmen dem Angeklagten etwa 0,15 USD pro infizierten Computer zahlten. Das entspricht 150 USD pro tausend Computer. (S. 7)

Einführung

Obwohl Sicherheitsunternehmen kürzlich auf das Wachstum profitorientierter und gezielter Bedrohungen aufmerksam gemacht haben, besteht dieser Trend tatsächlich bereits seit 2003, als die Anzahl von Adware und Spyware alarmierend zu steigen begann. Der Oberbegriff für Bedrohungen, die keine Malware sondern Software mit eindeutigen Folgen auf die Sicherheit und den Datenschutz der betroffenen Computer ist, ist Potenziell Unerwünschte Programme (PUPs). Diese werden meist von legitimen Firmen für einen bestimmten nützlichen Zweck erstellt und vermarktet – wem die Software nutzt, ist jedoch fraglich.

Spyware und Adware gehören zu diesen Bedrohungen. Sie installieren sich selbst auf dem Computer des Benutzers (oft als Gegenleistung für eine "freie" Software) und sammeln anschließend Marketingdaten und verbreiten zielgerichtete Werbung. Mit dem Auftauchen lukrativer Online-Geschäftsmodelle für Partnermarketing und der allgemeinen Leichtigkeit, mit der diese Bedrohungen verteilt werden können, verbreiten sich Adware und Spyware immer mehr.

Aufstieg von Adware und Spyware

Obwohl die Begriffe "Adware" und "Spyware" seit den späten 1980er bestehen, entwickelten sie sich erst in den Jahren 2003 und 2004 zu einem dominanten Trend im Sicherheitsbereich. Abbildung 1 verdeutlicht das rasante Wachstum bei Familien und Varianten von Adware und Spyware seit 2000.

Im Zeitraum von 2000 bis 2002 gab es nur etwa vierzig Adware-Familien. Diese Zahl ist im Jahr 2003 sprunghaft angestiegen – um mehr als 1.000 Prozent in nur dreieinhalb Jahren. Im August 2006 gab es 450 Adware-Familien mit über 4.000 Varianten. Forscher an der Universität von Washington (University of Washington, UofW) führten im Jahr 2005 eine Studie zur Verbreitung und den Anteilen von Adware und Spyware durch.1 Hierfür durchsuchten sie das Internet direkt nach verdächtigen ausführbaren Dateien.

Quelle: McAfee Avert Labs

Abbildung 1: Anstieg von Adware- und Spyware-Familien (Spyware im engeren Sinne)2 und -Varianten von 2000 bis 2006

Im Mai und dann erneut im Oktober analysierten sie etwa 20 Millionen URLs. Neunzehn Prozent der überprüften Sites enthielten ausführbaren Code, von dem die Forscher mehr als 20.000 Beispiele sammelten. Im Oktober enthielten 5,5 Prozent dieser Dateien (aus 4,4 Prozent der 2.532 überprüften Domänen) fragwürdigen Programmcode.

Die UofW-Studie fand weniger als 90 verschiedene unerwünschte Programme (82 im Mai, 89 im Oktober). Ebenso wie Viren wurde die Mehrzahl der PUPs entweder nicht oder nur in kleinen Mengen gefunden (siehe Tabelle 1). Eine mögliche Erklärung für die geringen Zahlen könnte darin bestehen, dass die meisten PUPs für bestimmte Ziele gedacht sind und diskret ausgebracht werden.

1 “A Crawler-based Study of Spyware on the Web” (Eine Crawler-basierte Studie zu Spyware

im Web), http://www.cs.washington.edu/homes/gribble/papers/spycrawler.pdf 2 Im engeren Sinne wird der Begriff Spyware für Überwachungssoftware verwendet, die ohne

angemessene Benachrichtigung, Zustimmung oder Kontrolle des Benutzers ausgebracht wird. Weitere Informationen finden Sie auf der Website der Anti-Spyware Coalition, http://www.antispywarecoalition.org/documents/GlossaryJune292006.htm

White Paper | August 2006 Seite 4

www.mcafee.com

Programm Mai 2005 Programm Okt. 2005 WhenU 364 WhenU 340

180Solutions 236 Marketscore 47

eZula 214 Claria 41

Marketscore 143 BroadCastPC 37

BroadCastPC 67 Aurora 36

Claria 44 FOne 35

VX2 41 Zango 34

Favoriteman 36 eZula 33

Ebates MoneyMaker

31 Web3000 32

NavExcel 24 180Solutions 25

Tabelle 1: Ergebnisse der UofW-Spyware-Studie

Getäuschte Benutzer

In den Jahren 2004 und 2005 führten AOL und die National Cyber Security Alliance (NCSA) eine Studie zur Verwendung von Onlineschutzmaßnahmen durch.3 Zunächst wurden die Benutzer befragt und anschließend deren Festplatten analysiert, um zu untersuchen, inwiefern die Wahrnehmung mit der Wirklichkeit übereinstimmte.

3 2004 AOL/NCSA Online Safety Study (AOL/NCSA-Onlinesicherheitsstudie 2004):

http://www.staysafeonline.info/pdf/safety_study_v04.pdf 2005 AOL/NCSA Online Safety Study (AOL/NCSA-Onlinesicherheitsstudie 2005): http://www.staysafeonline.info/pdf/safety_study_2005.pdf

In einigen Bereichen wurden erhebliche Unterschiede zwischen Wahrnehmung und Wirklichkeit festgestellt. Beispielsweise glaubten 2004 nur 53 Prozent der Benutzer, dass auf ihren Computern PUPs installiert seien. Die nachfolgende Analyse der Festplatten ergab, dass dies jedoch tatsächlich bei 80 Prozent der Fall war. Im Jahr 2005 gaben 71 Prozent an, dass sie ihre Antivirensoftware täglich oder wöchentlich aktualisieren würden. Die Analyse zeigte jedoch, dass 67 Prozent der Antivirenprogramme seit mindestens einer Woche nicht mehr aktualisiert worden war. In einer kürzlich durchgeführten Studie bat McAfee SiteAdvisor.com Websurfer zu testen, ob sie in der Lage sind, in einer Reihe von Kategorien Adware- und Spyware-freie Sites finden. Erstaunliche 97 Prozent der Internetbenutzer konnten nicht zwischen sicheren und unsicheren Sites unterscheiden. Damit ist die Mehrheit nur einen Klick davon entfernt, ihren Computer mit Spyware, Adware oder anderer unerwünschter Software zu infizieren. Bei einer Studie im Mai 2006 berichtete McAfee SiteAdvisor.com, dass alle großen Suchmaschinen bei der Suche nach typischen Schlüsselwörtern riskante Sites zurückgaben.4 Die Anzahl der gefährlichen Sites erreichte ganze 72 Prozent der Suchergebnisse für einige Schlüsselwörter wie "free screensavers" (kostenlose Bildschirmschoner), kazaa, bearshare, "download music" (Musik herunterladen) und "free games" (kostenlose Spiele).

4 The Safety of Internet Search Engines (Sicherheit von Internetsuchmaschinen):

http://www.siteadvisor.com/studies/search_safety_may2006.html

Abbildung 2: McAfee SiteAdvisor-Zuordnung von Partnerschaften zwischen Sites

www.mcafee.com

Whitepaper | August 2006 Seite 5

Sites und Firmen, die Adware verbreiten

Allgemein wird davon ausgegangen, dass die meisten Verteiler von Adware Sites mit Erwachseneninhalten sowie pornographische Sites wären. Die UofW-Studie ergab jedoch ein ganz anderes Bild.

Laut diesen Studienergebnissen sind die gefährlichsten Websites tatsächlich solche mit Promi-News (16,3 Prozent der ausführbaren Dateien auf diesen Sites sind gefährlich), gefolgt von Bildschirmschoner-Anbietern (11,5 Prozent) und Sites für Erwachsene (11,4 Prozent). Naturgemäß enthalten Computerspiele-Sites viele ausführbare Dateien: Während der UofW-Studie waren es 60 Prozent – davon wurden jedoch nur 5,6 Prozent als gefährlich eingestuft.

Die Studie von Mai 2005 ergab, dass 4,6 Prozent der zum Download verfügbaren ausführbaren Dateien auf einer beliebten Portal-Site Spyware enthielt. Der Anteil fiel auf 0,3 Prozent im Oktober, wobei dies offensichtlich durch eine neue Scan-Richtlinie des Host-Unternehmens verursacht wurde.

Wie bereits angemerkt, werden die meisten Adware- und Spyware-Anwendungen von legitimen Firmen zu Werbe- und Marktforschungszwecken erstellt. Die UofW-Studie klassifizierte Adware-verteilende Sites nach der Anzahl der gefundenen infizierten ausführbaren Dateien. Die Website scenicreflections.com allein enthielt 1.776 Instanzen von TurboDownload und 1.354 Instanzen von WhenU. Um die Statistiken aussagekräftiger zu machen, wurden diese Instanzen aus den Studienergebnissen in Tabelle 2 entfernt.

Viele Sites arbeiten in Wirklichkeit "undercover" für die im vorherigen Abschnitt genannten Unternehmen. Einige Sites ändern regelmäßig ihren Namen und sind gegenseitig per Vereinbarungen mit unterschiedlichen Geheimhaltungsstufen miteinander verknüpft. Die McAfee-Site SiteAdvisor.com5 bietet eine geographische Darstellung der in Abbildung 2 gezeigten Verbindungen. Durch diese Verbindungen können legitime Sites (grün) mit bekannten Adware-Verteilern (rot) in Zusammenhang gebracht werden, zum Beispiel adbureau.net mit mediapost.com mit 180solutions.com mit zangocash.com.

5 SiteAdvisor-Plug-In für Internet Explorer, SiteAdvisor-Plug-In für Firefox

http://www.siteadvisor.com/preview/

Site Mai

2005

Site Okt.

2005

screensaver.com 191 gamehouse.com 164 celebrity-wallpaper.com 136 screensavershot.com 137 screensavershot.com 118 screensaver.com 107 download.com 116 hidownload.com 50 gamehouse.com 111 games.aol.com 30 galttech.com 38 appzplanet.com 27 appzplanet.com 37 dailymp3.com 27 megspace.com 36 free-to 27 download-game.com 30 galltech.com 23

Tabelle 2: Adware-verteilende Sites und die Anzahl der infizierten ausführbaren Dateien

Partnerschaften

Das Prinzip der Partnerschaften ist eine leistungsbasierte Marketingstruktur, bei der eine Verkaufssite mit ihren Partnern verbunden ist. Der Händler (oder Affiliator) erstellt das System und "rekrutiert" Partner, die für die Produkte und Dienste des Händlers Werbung machen. Die Zahlungen basieren auf dem Datenverkehr, den Kunden sowie den Transaktionen, die der Händler durch den Partner erhält. In den Verträgen zwischen Affiliator und Partnern werden Bedingungen zu Provisionssätzen, Zahlungsarten sowie andere Zahlungsmodalitäten wie Häufigkeit und Mindestbeträge festgehalten. Die Zahlungsbedingung basieren häufig auf Pay-per-Click (Zahlung pro Klick auf die Website, also pro Besucher) oder Pay-per-Form (Zahlung für jedes neu ausgefüllte Benutzerprofil). Einige Affiliator bezahlen prozentuale Provisionen auf getätigte Käufe. Um teilzunehmen, fügt ein Partner ein grafisches Werbeelement (Text, Schaltfläche oder Banner) zur eigenen Website hinzu, mit dem Verkäufe und Weiterleitungen überwacht und aufgezeichnet werden können.6 In den meisten Fällen entscheiden die Benutzer selbst, ob sie die Site des Affiliators (Händlers) besuchen möchten. Wenn sich ein Benutzer für den Besuch auf der Website des Händlers entschieden hat, identifiziert ein dem URL des Händlers zugewiesener Parameter den Partner, von dem der Benutzer weitergeleitet wurde. Möglicherweise wird zusätzlich ein Cookie auf dem Computer des Benutzers abgelegt, damit der Händler das Verhalten des Benutzers überwachen kann – beispielsweise, ob der Benutzer einen Kauf tätigt oder ein Formular ausfüllt.

6 Eine Weiterleitung ist als Klick auf einen referenzierten Händler definiert.

White Paper | August 2006 Seite 6

www.mcafee.com

Überwachung

Es gibt vier Hauptmethoden, über die Partner erkannt und bezahlt werden: URLs mit Parametern, Cookies, HTTP-Verweise und Download- und Installationszähler.

URLs mit Parametern

Dies ist die am häufigsten verwendete Methode und kann für Pay-per-Click und Adware-Installationen verwendet werden. Ein Werbebeispiel für ein Online-Casino finden Sie in Abbildung 3.

Abbildung 3: Der URL von Casino-Partouche.com mit Parameter

Für die Site Casino Partouche enthält der Link in der Internet Explorer-Statusleiste einen identifizierenden Parameter, damit der Partner nach der Pay-per-Click-Methode bezahlt werden kann, in diesem Fall "idaffiliation=1121".

Bei dieser Methode werden Programme namens AdClickers von skrupellosen Partnern verwendet, die diese mit Bots, Viren oder E-Mails verteilen. AdClickers klicken automatisch wiederholt auf bestimmte Webseiten, um auf diese Weise die Einnahmen des Partners zu vergrößern. Ein aktuelles Beispiel eines AdClickers wurde im Mai 2006 vom SANS Institute geliefert.7

Die URL-mit-Parameter-Methode kann auch durch Installation eines Adware-Programms verwendet werden. In einigen Fällen sendet die Händler-Site einen Bestätigungscode nach der Installation, wartet anschließend auf die Rückmeldung und schließt dann die Transaktion ab und bezahlt den Partner.

7 CLICKbot : http://isc.sans.org/diary.php?storyid=1334

Cookies

Die Cookie-Methode wird hauptsächlich für Pay-per-Form- und Provision-bei-Verkauf-Programmen eingesetzt. Wenn ein Partner einen Besucher auf die Händlersite leitet, bezahlt der Händler den Partner für die innerhalb eines bestimmten Zeitraums gelieferte Werbung. Dies erfolgt dann meist monatlich.

Cookies verwenden in den meisten Fällen das Format "Benutzername@Sitename". Der Benutzername unterscheidet zwischen Benutzerprofilen auf demselben Computer. Der Sitename ist häufig die Adresse der Site, die den Cookie hinterlegt hat. Zu den anderen Feldern gehören:

1) Cookiename 2) Cookiewert 3) Host/Pfad für den Webserver, der den Cookie

eingerichtet hat 4) Kennzeichen 5) Ablaufdatum 6) Ablaufzeit 7) Erstellungsdatum 8) Erstellungszeit 9) Datensatztrennzeichen (*)

Im Beispiel von Casino Partouche wird ein einziger Cookie generiert. Der Partner erhält wahrscheinlich eine Provision in Abhängigkeit davon, ob der Benutzer Geld auf der Site des Affiliators ausgibt. Mithilfe eines Textbearbeitungsprogramms können Cookies angezeigt (und bearbeitet) werden (siehe Abbildung 4).

Abbildung 4: Anzeigen eines Cookies im Textbearbeitungsprogramm

Die ersten beiden Datenteile sind der Variablenname (idaffiliation) und der alphanumerische Wert dieser Variable (1121). Eine weitere Zeichenfolge zeigt den Aussteller und den URL an, für den der Cookie gilt (casino-partouche.com/new/fra). Eine der nächsten Zeichenfolgen ist das Ablaufdatum im UNIX-Zeitstempelformat8 (4032664576 entspricht dem 22. Februar 2006).

Cookies sind meist kleine Dateien, und sie enthalten selten so viele Informationen wie der Cookie von der Erwachsenen-Site Gammacash in Abbildung 5.

8 Links zu UNIX- Zeitstempelkonvertierern finden Sie in französischer Sprache auf folgender

Site: http://www.davidtouvet.com/blog/archives/2005/01/13/php-convertisseur-de-dates-en-format-timestamp/

www.mcafee.com

Whitepaper | August 2006 Seite 7

Abbildung 5: Beispiel für einen umfangreichen Cookie von Gammacash

Mithilfe von Cookies können Computer und Benutzerprofile identifiziert werden, nicht jedoch unbedingt der tatsächliche Benutzer. Sofern ein Besucher keine weiteren Informationen angibt, bleibt die Anonymität gewahrt.

Die meisten Browser ermöglichen das Deaktivieren einiger oder aller Cookies. Auf diese Weise kann ein Cookie-Ersteller den Benutzer nicht überwachen, und die Benutzeraktivitäten können in die Gebühr des Partners einbezogen werden. Durch das Deaktivieren aller Cookies gehen auf einigen Websites jedoch Funktionen verloren (wie das Speichern neuester Aktienkurse). Sofern verfügbar, besteht ein guter Kompromiss darin, Cookies von Drittanbietern zu deaktivieren und alle Cookies zuzulassen, die tatsächlich vom Siteinhaber stammen. Mit dieser Einstellung kann eine einzelne Website Informationen zum Computer speichern, ohne dass diese Informationen mit anderen Sites ausgetauscht werden.

HTTP-Verweise

Wenn ein Browser einer HTTP-Abfrage durchführt, verwaltet er einen Parameter, der als "REFERER" (Verweis) bezeichnet wird, der der angeforderten Seite entspricht. In der Praxis ist die Information in der Umgebungsvariablen enthalten: $ENV{'HTTP_REFERER'}. Der Teil "HTTP_" zeigt, dass diese Umgebungsvariable von einem Browser gesendet und nicht von einem Server generiert wurde. Eine besuchte Site kann den REFERER-Parameter mithilfe eines CGI-Skripts9 abrufen und auf diese Weise den Partner für die Zahlung identifizieren.

9 CGI (Common Gateway Interface, allgemeine Gateway-Schnittstelle): Eine Technologie zum

Ausführen von Programmen auf Webservern, mit deren Hilfe Anfragen von Internetbenutzern verarbeitet und HTML-Seiten als Antwort gesendet werden. CGI-Skripts sind häufig in PERL, C++ oder Java geschrieben. Eine alternative Lösung stellt ASP dar.

Download- und Installationszähler

Bei der letzten Methode werden Adware-Installationen durch Zählen der Anzahl von Downloads von einer Händler-Site erfasst. Die Zähler funktionieren dadurch, dass der Affiliator an jeden Partner einen eindeutigen Dateinamen vergibt. Die Zahlung erfolgt anschließend anhand der Anzahl der Download oder Installationen jedes Dateinamens.

Zahlung (traditionelle Werbung)

Die von Rémi Calmel (Frankreich) erstellte Website zu Marketing-Partnerschaften10 ist jetzt leider nicht mehr erreichbar. Im Januar 2006 bot sie aber eine Vorstellung davon, welche Einnahmen Partner über die verschiedenen Partnerprogrammarten erwarten können.

• Pay-per-Display (Zahlung pro Anzeige) Partner werden pro tausend Ereignisse (Cost-per-Thousand, Kosten pro tausend) bezahlt, basierend auf Benutzer, die die Werbung anzeigen. Der Marktpreis liegt bei 18 bis 25 USD pro tausend Benutzer.

• Pay-per-Click (Zahlung pro Klick) Partner werden pro Vorgang bezahlt (Cost-per-Act). Direktpartner verdienen dabei etwa 0,30 USD pro Vorgang. Bei einer Klickrate von 0,5 bis 1,0 Prozent liegt der CPT-Wert bei 1,50 bis 3,00 USD. Partner der zweiten und dritten Ebene können etwa die Hälfte oder ein Drittel dieser Einnahmen erwarten.

• Pay-per-Profile (Zahlung pro Profil) Solche Programme sind eine Variante der Cost-per-Act-Abrechnung. Mithilfe eines Webformulars übermittelte E-Mail-Adressen bringen dabei 0,40 bis 0,70 USD pro Adresse ein. Korrekt ausgefüllte Formulare mittleren Umfangs können 1,20 bis 2,00 USD einbringen, bei umfangreichen Formularen werden zwischen 2,00 und 4,50 USD erreicht. Da für diese Programme umfangreiche Benutzerinteraktion erforderlich ist, nehmen nur wenige Benutzer an solchen Programmen teil, so dass der CPT-Wert bei weniger als 1,00 USD liegt.

• Commission-on-Sales (Provision bei Verkauf) Im Jahr 2000 erstellte ein großer PC-Hersteller ein solches Programm, bei dem die Partner zwischen 3 und 5 Prozent Verkaufsprovision erhielten. Die niedrigen Provisionsraten sind hauptsächlich durch die geringe Handelsspanne auf dem PC-Markt begründet. Am anderen Ende des Spektrums können – vor allem in den USA – auf den größten Plattformen (Commission Junction and BeFree) Provisionen in Höhe von 30 bis 50 Prozent gezahlt werden – in einigen Fällen sogar bis 75 Prozent. Der von Remi Calmel errechnete relative CPT-Wert ist jedoch sehr gering, weniger als 0,70 USD.

10 http://www.affiliation-marketing.com/dossiers/reussir/01.php

Dieser URL und die Domäne sind nicht mehr erreichbar, aber die Seite kann unter folgender Adresse gefunden werden: http://web.archive.org/web/20030209233551/http://www.affiliation-marketing.com/reussir/01.htm

White Paper | August 2006 Seite 8

www.mcafee.com

In Tabelle 3 werden die Einnahmen zusammengefasst, die Partner aus den verschiedenen Marketingprogrammen erwarten können.

PROGRAMM CPT (für 1.000 Besucher auf der Partner-Site)

Pay-per-Display < 25 USD Pay-per-Click < 3 USD

Pay-per-Profile < 1 USD

Provision < 0,70 USD Tabelle 3: Übersicht der Zahlungsprogrammkosten

Zahlung (Zahlung pro Adware-Installation)

Adware-Programme bieten Partnern eine effektive Möglichkeit, die Umsätze zu verbessern. Durch das Entwerfen von Adware, die wiederholt und automatisch auf die Site des Affiliators zugreift, können Partner die Leistungsdaten, auf denen die Bezahlung basiert, drastisch erhöhen.

Der Fall Jeanson James Ancheta ist dabei besonders aufschlussreich. Unter dem Pseudonym "BOTZ4SALE" erstellte dieser 21-jährige Hacker neue Varianten der Robotfamilie "rxbot".11 Er verteilte die Varianten und baute mehrere Botnets auf, die er an andere Computerbenutzer vermietete. Mithilfe dieser Botnets wurden verteilte Denial-of-Service-Angriffe (Distributed Denial of Service, DDOS) gestartet und unerwünschte Werbe-E-Mails (Spam) gesendet.

Obwohl das Geschäft gut ging, erkannte Ancheta bald, dass das Verteilen von Partnersoftware bedeutend lukrativer und ungefährlicher ist. Zusammen mit einem Freund schloss er Partnerschaften mit mehreren Händlern und veränderte deren Adware so, dass sie über seine Botnets installiert werden konnten. Dieses Verteilungssystem arbeitete bald reibungslos, und zwischen November 2004 und April 2005 flossen die Zahlungen regelmäßig. Die Behörden bekamen jedoch Wind von seiner Vorgehensweise und verhafteten ihn im November 2005. Im Mai bekannte er sich schuldig. Die Anklage lautete auf Verletzung des Gesetz gegen Computermissbrauch (Computer Fraud Abuse Act), Verschwörung zur Verletzung des Anti-Spam-Gesetzes (CAN-SPAM Act), Beschädigung von Computern, die vom US-amerikanischen Bundesministerium für Landesverteidigung genutzt werden sowie nicht autorisierter Zugriff auf geschützte Computer mit Betrug.12 Für die Erstellung seiner Botnets wurde er zu 57 Monaten Gefängnis verurteilt.13

11Robot: Ein bösartiges Programm, mit dem remote anfällige Computer gesteuert werden

können, über die wiederum ein verstecktes Angriffsnetzwerk (oder Botnet) aufgebaut werden kann.

12 Computer virus broker arrested for selling armies of infected computers to hackers and spammers (Computerviren-Broker verhaftet wegen Verkaufs zahlloser infizierter Computer an Hacker und Spammer), http://www.usdoj.gov/usao/cac/pr2005/149.html & http://www.usdoj.gov/usao/cac/pr2005/Botnet_Indictment.pdf

13 "Botherder" dealt record prison sentence for selling and spreading malicious computer code (Bot Herder erhält Gefängnisstrafe für den Verkauf und die Verteilung von böswilligem Computercode): http://www.usdoj.gov/usao/cac/pr2006/051.html

In der Anklageschrift werden die Mietkosten für seine Botnets und die von Gammacash Entertainment, Inc (Quebec, Kanada) und LOUDcash (jetzt ZangoCash) gezahlten Provisionen detailliert aufgeführt. In Abbildung 6 finden Sie Auszüge aus den Seiten 46 und 47 der Anklageschrift, die verdeutlichen, wie viel Ancheta für die Nutzung seiner Botnets gezahlt wurde.

ANZAHL ZEITRAUM

(ETWA)

ANZAHL GESCHÜTZTER COMPUTER, AUF DIE OHNE ERLAUBNIS ZUGEGRIFFEN

WURDE (CA.) ZAHLUNGE

N (ETWA)

SIEBEN

1. November 2004bis

19. November 2004

26.975 4.044,26 USD

von Gammacash

ACHT

16. November 2004 bis

7. Dezember 2004

8.744 1.306,52 USD

von LOUDcash

NEUN 15. Januar 2005

bis 7. Februar 2005

19.934 2.988,11 USD

von Gammacash

ZEHN 1. März 2005

bis 22. März 2005

53.321 7.996,10 USD

von Gammacash

ELF 1. April 2005

bis 22. April 2005

28.066 4.010,81 USD

von Gammacash

Abbildung 6: Zahlungen von Gammacash und LOUDcash für Botnet-Dienste

Wenn man die Zahlungen und die Anzahl der infizierten Computer ermittelt, ergeben sich ca. 0,15 USD pro Computer, die Ancheta erhalten hat. Das ist ein CPT-Wert von etwa 150 USD und damit erheblich mehr als alle zuvor beschriebenen legitimen Partnermarketing-Programme.

Diese Zahlen scheinen realistisch, wenn man sie mit dem Werbebanner von Zangocash vergleicht, das stolze 0,40 USD pro Zango-Installation verspricht (siehe Abbildung 7).14

Abbildung 7: ZangoCA$H-Affilitor-Angebot

14 http://www.zangocash.com/programs/

www.mcafee.com

Whitepaper | August 2006 Seite 9

Ein weiterer Hacker, mit dem Pseudonym "0x80" (gesprochen: X-eighty), enthüllte kürzliche seine illegalen Botnet-Operationen. In einem Artikel der Washington Post15 erzählte er, dass er – wie viele Botmaster – sein Geld durch heimliche Adware-Verteilung verdient. 0x80 gibt an, dass er mehr als 13.000 Computer in über 20 Ländern kontrolliert, was ihm im Durchschnitt 6.800 USD monatlich einbringt. Dadurch ergeben sich insgesamt 10.000 USD pro Monat.

Auch Majy, ein Freund von 0x80, sprach ausführlich über seine Einnahmen. Er erhielt 0,20 USD pro Installation auf Computern in den USA und 0,05 USD pro Installation auf Computern in weiteren 16 Ländern (wie Frankreich, Deutschland und Großbritannien). Majy erhielt Zahlungen von einem Host von Partnermarketing-Unternehmen, z. B. TopConverting, Gammacash und LOUDCash.

Fazit

Die Verbreitung von Adware und Spyware nimmt exponentiell zu. Legal eingesetzt, können sie Partnermarketing-Programme optimieren. Sie sind jedoch auch ein ideales Werkzeug für Online-Kriminelle auf der Suche nach Möglichkeiten zum Betrug. Im oben beschriebenen Fall gab Ancheta zu, dass er durch das Herunterladen von Adware auf mehr als 400.000 Computer, auf die er sich unbefugt Zugriff verschafft hatte, über 107.000 USD von Werbepartnern eingenommen hat. Durch Variieren der Downloadzeiten und -raten während der Adware-Installation sowie das Weiterleiten der kompromittierten Computer zwischen verschiedenen Servern entdeckten die Partnerunternehmen, die Ancheta für jede Installation bezahlten, seinen Betrug lange Zeit nicht.

Die Vermischung von kriminellen und legitimen Partnermarketing-Aktivitäten verwirrt Händler wie Kunden und verwischt die Grenze zwischen bösartigen, unerwünschten Programmen und "gutartiger" Software. Die Situation wird dadurch weiter verkompliziert, dass Spyware häufig als "Schutzsoftware" beworben wird.

15 Brian Krebs, “Invasion of the Computer Snatchers” (Invasion der Computerdiebe)

Washington Post, 19. Februar 2006, Seite W10, http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html

Weltweit sind mindestens 12 Million Computer durch Botnets kompromittiert, wodurch bedeutende Geldmengen auf betrügerische Weise von Cyber-Kriminellen einkassiert werden. Durch diese erhebliche finanzielle Unterstützung wird sich das Wachstum der Vielfalt und Anzahl von Bedrohungen noch weiter beschleunigen. Verbesserter Betrugsschutz und Haftbarkeit für Partnermarketing-Unternehmen sind sicher praktikable Lösungen, die den Geldfluss an Kriminelle hemmen können. Es gibt jedoch keinen Ersatz für die Wachsamkeit der Endbenutzer beim Schutz ihrer vertraulichen Informationen. Nur so kann auch verhindert werden, dass Bot Herder ihre Drohnennetzwerke aufbauen.

McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, USA, 888.847.8766, www.mcafee.com McAfee und/oder weitere hier enthaltene Marken sind eingetragene Marken von McAfee Inc. und/oder seinen Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe McAfee-Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum ihrer jeweiligen Besitzer. © 2006 McAfee, Inc. Alle Rechte vorbehalten.