Die Googlemitarbeiter Neil Daswani und Michael Stoppelman vom Click-Quality-Team haben eine Untersuchung eines Klickbetrug-Netzwerkes veröffentlicht und ermöglichen damit einen Einblick in diesen sonst so öffentlichkeitsscheuen Bereich.
Untersucht wurde der Aufbau und das Verhalten des auf den Namen „Clickbot.A“ getauften Schädlings, der auf über 100.000 Rechnern verbreitet war. Die Umsetzung des Klickbots als BrowserHelperObject (BHO), das sich in dem Microsoft Internet Explorer einklinkt, hat den Vorteil, dass so auf die komplette Schnittstelle des Browsers zugegriffen werden kann und eine Imitation eines realen Besuchers leichter fällt. Im Gegensatz zu den bislang verbreiteten Bots wird zur Kommunikation mit dem Administrator des Netzwerkes nicht mehr das IRC-Protokoll, sondern, wie für die Klicks, HTTP genutzt – so sind Firewall und Router leichter zu umgehen.
Nachdem ein neuer Client infiziert wurde und sich das BHO erfolgreich im Internet Explorer registriert hat, wird es bei jedem Start des Browser neu geladen. Es meldet sich danach beim Server des Administrators an und enthält von diesem eine Liste mit zu besuchenden Pseudosuchmaschinen inklusive der zu suchenden Keywords. Im Fall von Clickbot.A handelte es sich hauptsächlich um Domains und Keywords aus dem Erotikbereich, aber auch andere Bereiche mit hohen Klickpreisen werden betroffen sein. Da der Bot vor jedem Klick beim Server des Administrators nachfragt, ob ein Klick erfolgen darf, lassen sich die Klickraten gut steuern und somit „natürlich“ aussehender Traffic generieren.
Der Schaden, den dieses Botnetzwerk hätte anrichten können, wird auf 50.000 US-Dollar geschätzt – allerdings sind, je nach Laufzeit, wohl auch noch deutlich höhere Summen möglich. Interessant ist noch, dass die Autoren erwähnen, dass solche Netzwerke nicht in jedem Fall abgeschaltet werden, wenn man ungültige Klicks erkennen und somit nicht vergütet, sondern, dass man sie in Einzelfällen weiterlaufen lässt, um Informationen über Betreiber und Software zu erlangen.
