13.05.2008, 00:00 Uhr
Neuer Web Threat: Mehr als 9.000 Webseiten manipuliert
Trend Micro hat mehr als 9.000 Webseiten identifiziert, die im Rahmen eines Angriffs manipuliert wurden. Über eine SQL-Injection-Attacke gelang es Hackern, auf den betroffenen Webseiten ein Javascript einzufügen, das Besucher zu gefährlichen URLs umleitet. Die sofortige Weiterleitung erfolgt dabei ohne Wissen des Anwenders. Zu den betroffenen Webseiten gehören seriöse, internationale Angebote aus den Bereichen Medizin, Bildung, Unterhaltung und öffentlicher Sektor. Die Standorte der Angriffsziele sind geografisch verteilt und befinden sich unter anderem in Indien, Grossbritannien, Kanada, Frankreich und China. Das lässt die Verwendung eines automatisierten Werkzeugs vermuten, mit dem speziell nach Schwachstellen in Webseiten gesucht wurde.
Die Webseiten enthalten ein nachträglich eingefügtes Javascript. Besucher werden dadurch zu zwei gefährlichen URLs weitergeleitet, die ein zufälliges Bild auf der Webseite darstellen. Solche Routinen werden in Werbebotschaften verwendet. Über Cookies wird zudem versucht zu ermitteln, wie lange das Bild angezeigt wird - möglicherweise, um es nach einer gewissen Zeit gegen ein anderes auszutauschen. Zusätzlich zu diesen Methoden kann ein Anwender aber auch auf einen wesentlich gefährlicheren Weg geleitet werden, der im Download von JS_DLOADER.AEHM und TROJ_REALPLAY.BR resultiert. Beide laden wiederum TROJ_AGENT.AKVP auf das infizierte System. Der Trojaner hinterlässt eine Kopie von sich selbst und veranlasst den Download einer Liste von gefährlichen Websites. Zudem besteht die Gefahr, dass eine ganze Reihe weiterer Malicious Codes auf das betroffene System heruntergeladen wird, darunter JS_SENGLOT.C, HTML_DLOADR.CJ, JS_REPL.CB, JS_AGENT.ALIG, TROJ_AGENT.ALGQ und EXPL_EXECOD.A. Die letztgenannte Malware relativ alt und enthält Code, der sich gegen Schwachstellen in verschiedenen Applikationen richtet, wie zum Beispiel Yahoo! Jukebox und die vor allem in China verbreitete Lianzong Online-Gaming-Plattform.
Weitere Informationen zu der aktuellen und weiteren Bedrohungen unter: http://blog.trendmicro.com Darüber hinaus haben alle Anwender die Möglichkeit, ihr System mit dem kostenlosen Trend Micro Online-Scanner HouseCall zu überprüfen: http://housecall.trendmicro.com (ph)