Das 2008 von Google gekaufte Werbenetzwerk DoubleClick verbreitet wieder unfreiwillig Malware. Unter die sonst seriösen Anbieter hat sich ein schadhaftes Banner eingeschleust. Aufgefallen war es auf der Webseite von eWeek, einem Computer Business Magazin.

Besucher der Webseite wurden in einigen Fällen mit einem Werbebanner konfrontiert, das unsichtbare iframes enthielt und sie auf andere Webseiten weiterleitete. Dort wurden mehrere Angriffe gegen die Endbenutzer gefahren, so Experten von Websense. Die Weiterleitungen geschehen durch eingebettete schadhafte PDF Dokumente mit Javascript Code oder durch eine PHP Datei.

Ist der Benutzer auf der Weiterleitungsseite, wird versucht eine Serie von infizierten Dateien auf seinen Computer zu laden. Unter anderem die Datei winratit.exe, welche sich in den Autostart Ordner einfügt und beim nächsten Reboot aktiviert wird. Das Ergebnis ist die Installation von Anti-Virus-1, einer vermeintliche Anti-Spyware-Software, die dem Benutzer falsche Berichte unterjubelt um ihn zum Kauf der Vollversion zu animieren. Gleichzeitig wird die Hosts Datei verändert, so dass andere Antivirus Webseiten nicht zu erreichen sind.

Seit Jahren gibt es solche Fake Werbebanner und DoubleClick als das weltweit größte Werbenetzwerk hat bei ihrer Verbreitung eine unfreiwillige Rolle gespielt. Der Vorteil für Kriminelle liegt auf der Hand, da die Benutzer auf vertrauenswürdigen Webseiten surfen, während sie die Banner angezeigt bekommen und somit die Klickraten entsprechend hoch sind. Oftmals werden für solche Fake Banner unverdächtig wirkende Scheinfirmen angelegt um ihre wahre Absicht gegenüber DoubleClick zu verschleiern. Ein weiterer Vorteil liegt darin das der Bannercode jederzeit umgeändert oder abgeschaltet werden kann um zum Beispiel Spuren zu verwischen.

Aufgrund der starken Verbreitung von DoubleClick ist es möglich das die Fake Banner auch auf anderen Webseiten auftreten.