Hallo zusammen!

Die Website internetbrowser-update.com verbreitet offensichtlich gezielt Schadprogramme. Wer die Seite aufruft, bekommt die Möglichkeit geboten Browser-Update wahlweise für Chrome, Firefox oder Opera zu Installieren. Auf der Website steht: "Der Download ist sicher von der offiziellen Seite des Herstellers." Angeboten wird aber immer die gleiche setup.exe, die auf dem Server und nicht beim Hersteller liegt. Intern nennt sich die Datei GoogleUpdateSetup.exe. Ein Scan der Datei bei Virustotal liefert leider keine Ergebnisse. Es muß aber einen Schadmechanismus geben, den ich nicht erkenne, den:

Auf dem Server in der Ukraine mit der IP-Adresse 46.161.40.112 liegen 6 Domains:

e-payment-postfinance.com
healthgrades.store
internetbrowser-update.com
payment-quickpay.com
safemeds.store
santanderelavontpvvirtual.com

Die Website payment-quickpay.com wird über den Browser bei Einkäufen in Webshops aufgerufen und versucht Kreditkartendaten zu erreichen, daher gehe ich davon aus, daß ein Zusammenhang zwischen beiden Domains besteht.

Nebelwolf