Über das vergangene Wochenende fielen tausende englischsprachige italienische Webseiten einer einzigen Zeile zum Opfer. Die AngreiferInnen nutzten dabei das Vertrauen der AnwenderInnen in jene Webseiten, die sie regelmäßig besuchen aus und dürften einen großen Schlag vorbereiten, so die Warnungen der internationalen Anti-Viren-Experten.

SurferInnen werden zu ÜberträgerInnen

Die Idee hinter den Angriffen ist simpel und äußerst effektiv - die SurferInnen vertrauen Webseiten, die sie öfter besuchen und achten nicht auf kleine Details. So ist es möglich über JavaScript den Browser beim Besuch von Webseiten unbemerkt umzuleiten. Am Ende der Umleitung findet sich ein Server, der die ungesicherten Rechner mit einem Trojaner infiziert, den die SurferInnen dann ihrerseits ÜberträgerInnen des Schädlings werden.

Im Vorbeisurfen

Der Trojaner stiehlt nicht nur persönliche Informationen der AnwenderInnen, sondern infiziert im "Vorbeisurfen" auch noch andere Webseiten, die dann wieder weitere Rechner infizieren und so weiter, so eine Meldung von WebSense.

Zahlreiche Server betroffen

Nach Meldungen von TrendMicro würden mittlerweile auch schon zahlreiche Server zu "Überträgern" des Schädlings werden. Die Server stünden in den USA, aber auch in Hong Kong.

Mpack

Die Vorbereitungen zu dieser massiven Attacken begannen schon vor einem Monat: damals sorgten AngreiferInnen mit "Mpack", das den IFrame-Code, den Webdesigner verwenden, ausnutze, für eine Attacke auf rund 160.000 Rechner. Diese erste Welle war nur die Vorbereitung für diesen Server-Angriff. Experten vermuten daher, dass die Verseuchung der Server daher auch nur ein weiterer Zwischenschritt für eine kommende groß angelegte Attacke über das Internet sei.

Achtung

Die Sicherheitsexperten raten den AnwenderInnen bei Webseiten die eine Software-Installation einleiten oder voraussetzen sehr vorsichtig zu sein. UserInnen sollten keinen Software-Downloads zustimmen, außer es steht eine vertrauenswürdige Seite mit einem ebenso vertrauenswürdigen Provider dahinter. Die PCs sollten sicherheitstechnisch immer auf dem letzten Stand sein, ebenso die Antiviren-Software. Und, last but not least, immer darauf achten welche Mail-Attachments man öffnet.

Bereits über 11.000 Webseiten mit Trojaner verseucht

Der deutsche Sicherheitsspezialist Avira meldete, dass es bislang über 11.000 kompromittierte Webseiten ausfindig machen konnte. Die verseuchten Seiten wurden bereits von 115.000 Internetusern besucht, wobei rund zehn Prozent auf diesem Weg infiziert wurden. "Im Fokus des Angriffs war ein italienischer Serviceprovider. Daher handelt es sich bei den betroffenen Webseiten auch zumeist um solche in italienischer Sprache", erläutert Oliver Auerbach, Virenanalytiker bei Avira, im Gespräch mit pressetext.

Sammlung von Exploits

Das Verbreitungs- und Attackier-Tool Mpack verfügt über eine Sammlung an Exploits und auch detaillierte Statistiken. Die Sicherheitsexperten haben durch die Laboranalyse Zugriff auf die Statistiken von MPack erhalten, da sie auf dem gleichen Server wie der Trojaner verfügbar sind. Die betroffenen Homepages wurden mit einem zusätzlichen Inlineframe (iframe) versehen, wodurch eine weitere Seite geladen wird. Diese enthält dann den Exploitcode, der automatisch einen Trojaner auf den Rechner herunter lädt. Ausgenutzt werden dabei bekannte Lücken im verwendeten Browser. Dabei bleibt es allerdings nicht, denn "dieser Trojaner lädt weitere auf den PC, wobei auch Schadcodes mit Proxy-Funktionen dabei sind. Darüber kann beispielsweise Spam versendet werden", erläutert Auerbach.

IP-Adresse blockieren

Zudem raten die Sicherheitsexperten die IP-Adresse 64.38.33.13. zu blockieren. Dabei handelt es sich um den MPack-Server, von dem aus verschiedene Schadcodes geladen werden. Mittlerweile wurde der entsprechende Server jedoch vom Netz genommen. "Damit ist die Gefahr zwar kurzfristig gebannt, jedoch werden die Hacker irgendwo anders wieder aktiv werden und das Spiel beginnt von vorne", so Auerbach.(red/pte)