In ihrem Kampf gegen die Nutzer von Musiktauschbörsen ist der US-amerikanischen Musikindustrie offenbar so manches Mittel recht. Es ist ein alter Hut, dass die Musikindustrie Tauschbörsen wie Kazaa mit gefälschten MP3-Dateien gerade von neuen Songs überschwemmt, die alles andere, nur nicht den gewünschten Titel in der vorgegebenen Länge mit akzeptabler Qualität enthalten. Neu hingegen ist, dass US-amerikanische Anti-Piraterie-Firmen manipulierte Musik- und Videodateien in Umlauf bringen, die in der Lage sind, über eine Hintertür im Windows Media Player Pop-up-Werbefenster im Internet Explorer zu öffnen und Werbesoftware, so genannte Adware, auf dem PC des Tauschbörsennutzers zu installieren. Mit der Durchführung einer solchen Schadprogrammattacke auf Tauschbörsennutzer tut sich derzeit die bereits einschlägig bekannte Firma Overpeer hervor.
WMA-Datei mit Nebenwirkungen
Aufgedeckt wurde die Schadprogrammattacke vom US-amerikanischen Computermagazin PC World. Ein Leser hatte der Redaktion eine manipulierte Version des Alicia-Keys-Songs „Fallin'“ im Format Windows Media Audio (wma) zur Verfügung gestellt. Diese Datei stammte aus einer Tauschbörse und unterschied sich rein äußerlich in nichts von regulären wma-Dateien. Spielte man diese Datei mit dem Windows Media Player ab, gab es allerdings statt des erhofften Musiktitels eine handfeste Überraschung. Der Internet Explorer wurde automatisch gestartet und öffnete nacheinander rund ein halbes Dutzend Pop-up-Werbefenster. Einige dieser Werbefenster versuchten, Adware aus dem Netz herunterzuladen und zu installieren. Außerdem stellten die Tester von PC World fest, dass versucht wurde, die Startseite des Internet Explorers zu ändern.
Einzelfall oder Serie von manipulierten WMA-Dateien?
Die Redaktion machte sich anschließend auf die Suche nach weiteren manipulierten wma-Files und wurde erstaunlich schnell fündig. Als man die manipulierten Dateien genauer unter die Lupe nahm, stellten die verblüfften Redakteure fest, dass jede einzelne Datei den „Auftrag“ hatte, eine bestimmte Seite aus dem Netz zu laden. Diese Seite stammte von Servern der einschlägig bekannten US-Firma Overpeer. Programmcode auf dieser Seite sorgte dafür, dass Pop-Ups geöffnet, die Internet-Explorer-Startseite geändert und Adware-Programme geladen werden sollten. Dass sich Schadprogramme, die von anonymen Hackern oder Virenschreibern in Tauschbörsen eingespeist werden, auch über Tauschbörsennetzwerke verbreiten, ist hinlänglich bekannt. Dass eine regulär arbeitende Firma wie Overpeer ihre Schadprogramme in Tauschbörsen einschleust, ist allerdings ein Novum.
Overpeer arbeitet im Auftrag der US-Musikindustrie
Für Tauschbörsenexperten ist die US-Firma Overpeer keine Unbekannte. Sie gehört zum Online-Musikdienstleister Loudeye und ist darauf spezialisiert, den Nutzern von Musiktauschbörsen das Tauschen schwer zu machen, indem sie Peer-to-peer-Netze manipuliert. Zwar hält sich die Anti-Piraterie-Firma mit konkreten Angaben zu ihren Auftraggebern und zu der von ihr verwendeten Software vornehm zurück. Doch ist allgemein bekannt, dass Overpeer im Auftrag der US-Musikindustrie gefälschte MP3-Dateien in Umlauf bringt, um Tauschbörsennutzer vom Herunterladen abzubringen. Die durch den Download von klanglich veränderten oder sonst wie manipulierten Musiktitel entstehende Enttäuschung soll den Tauschbörsennutzer dazu bewegen, keine Musik mehr herunterzuladen bzw. sich an legale, kostenpflichtige Online-Musik-Shops zu wenden. Diese Strategie scheint zumindest bei der Musiktauschbörse Kazaa mittlerweile aufgegangen zu sein. Es ist dort nur noch mit großem Aufwand möglich, aktuelle Musiktitel in guter Qualität und vollständig zu saugen. Laut eigenen Angaben verhindert Overpeer mit dieser und weiteren Maßnahmen Monat für Monat den illegalen Download von über 25 Milliarden Musikdateien.
Overpeer gibt Manipulationen zu
Die Recherchen der PC-World-Redaktion ergaben, dass Overpeer auch für die manipulierten WMA-Files verantwortlich ist. Ein Loudeye-Sprecher bestätigte gegenüber dem Computermagazin, dass diese Dateien ihren Ursprung bei Overpeer gehabt hätten. Overpeer habe sie ins Netz gestellt, um zielgerichtet Werbe-Pop-Ups, die an die Peer-to-peer-Suchanfragen der Tauschbörsennutzer gekoppelt seien, schalten zu können. Offenbar verkauft Overpeer die Suchbegriffe an interessierte Firmen, deren Werbung dann via Overpeer bei den Tauschbörsennutzern ausgegeben wird. Dass eine solche Form der Werbung zumindest anrüchig sein könnte, will Marc Morgenstern von Loudeye nicht gelten lassen. Er gibt zu bedenken, dass Tauschbörsennutzer beim Download der manipulierten Datei einen illegalen, weil urheberrechtlich geschützten Musiktitel herunterladen wollten. Dass die Overpeer-Aktionen ebenfalls illegal sein könnten, weil sie versuchen, dem User unbemerkt ein Schadprogramm unterzuschieben, kam dem Loudeye-Sprecher offenbar nicht in den Sinn.
Die Hintertür im DRM-System
Die manipulierten Multimediadateien entfalten ihre Wirkung nur mit dem Windows Media Player und machen sich eine Eigenart dieses Programms zu Nutze, die bei der Überprüfung von Dateien auftritt, die per DRM geschützt sind. Wird per Windows Media Player eine Datei aufgerufen, für die es im PC des Users keine Lizenz gibt, öffnet der Player eine Lizenz-Dialog-Box mit Informationen etwa zu legalen Bestellmöglichkeiten. Über diese so genannte loophole-Funktion ist es möglich, per Internet-Explorer Werbe-Pop-up-Fenster aufgehen zu lassen, deren Inhalte außerdem dafür sorgen können, dass die Internet-Explorer-Startseite manipuliert sowie Adware nachgeladen und anschließend installiert werden kann. Auf Nachfrage der PC-World-Redaktion erklärte ein Microsoft-Sprecher, man werde die Angelegenheit prüfen. Microsoft werde nichts dulden, was vorgibt, einen bestimmten Inhalt zu haben, sich dann aber als etwas ganz anderes entpuppe.
Microsoft lässt prüfen
Microsoft tut vermutlich gut daran, diese Angelegenheit nicht auf die leichte Schulter zu nehmen. Die Overpeer-Aktion mag zwar nur zu lästigen Werbe-Pop-Ups und zur Installation unerwünschter Software führen. Ansonsten richtet sie im PC des Users offenbar keinen weiteren Schaden an. Sie könnte Hacker und Schadprogrammschreiber jedoch auf die Idee bringen, die loophole-Funktion des Media Players ebenfalls zu nutzen, um Schadprogramme mit gravierenden Folgen in den PC des arglosen Nutzers zu schleusen. Getreu dem Overpeer-Vorbild könnten sie ihre manipulierten Dateien beispielsweise nach aktuellen Charthits benennen, sie in Tauschbörsen aussetzen und darauf warten, dass diese Dateien heruntergeladen und gestartet werden. Das größte Problem für böswillige Angreifer ist es nämlich immer noch, ihre Schadprogramme unter die User zu bringen bzw. Surfer auf ihre manipulierten Webseiten zu locken. Dieses Problem wird durch die Overpeer-Methode elegant und effektiv gelöst. Dankesschreiben von Hackern und Schadprogrammautoren wird Overpeer vermutlich trotzdem nicht entgegennehmen.
Zurück zur News-Übersicht