Nach der Installation der modifizierten WinRAR-Installationsdatei wird eine Schadsoftware ausgeführt, die jede Minute ein Popup mit dem Hinweis „intervalhehehe“ erscheinen lässt. Informiert sich der alarmierte Anwender, indem er den Hinweistext über Google sucht, findet er Forenbeiträge, die die Existenz des Problems bestätigen. Über eine Manipulation der lokalen Host-Datei wird der Nutzer auf eine gefälschte Seite des „Microsoft Security Center“ geleitet, auf der ein kostenloser „Scan“ angeboten wird. Der kostenlose Scan zeigt natürlich eine Attacke von „intervalhehehe“ an und bietet sofort eine Anti-Spyware Lösung für 39,95 Euro von der betrügerischen IT-Sicherheitsfirma an.
Das Sicherheitsunternehmen Websense berichtete in ihrem Security Labs Blog über den Vorfall mit weiterführenden Details und Screenshots: http://securitylabs.websense.com/...
Die gefälschte Download.com Seite, mit der Schadsoftware behafteten WinRAR-Datei, finden Sie hier:
http://dreamcentury.cn/...
„Das Problem ist, dass eigentlich jeder für andere Firmen Google AdWords schalten kann, was in der Regel nicht überprüft wird. Sobald eine Seite geblockt ist, wird wieder eine neue erstellt“, kommentiert Öncül Kaya. „Wir sind besorgt über die Existenz dieser betrügerischen Webseiten. Wir empfehlen nur über win-rar.com und rarlab.com WinRAR zu installieren.“