SurferInnen werden zu ÜberträgerInnen
Die Idee hinter den Angriffen ist simpel und äußerst effektiv - die SurferInnen vertrauen Webseiten, die sie öfter besuchen und achten nicht auf kleine Details. So ist es möglich über JavaScript den Browser beim Besuch von Webseiten unbemerkt umzuleiten. Am Ende der Umleitung findet sich ein Server, der die ungesicherten Rechner mit einem Trojaner infiziert, den die SurferInnen dann ihrerseits ÜberträgerInnen des Schädlings werden.
Im Vorbeisurfen
Der Trojaner stiehlt nicht nur persönliche Informationen der AnwenderInnen, sondern infiziert im "Vorbeisurfen" auch noch andere Webseiten, die dann wieder weitere Rechner infizieren und so weiter, so eine Meldung von WebSense.
Zahlreiche Server betroffen
Nach Meldungen von TrendMicro würden mittlerweile auch schon zahlreiche Server zu "Überträgern" des Schädlings werden. Die Server stünden in den USA, aber auch in Hong Kong.
Mpack
Die Vorbereitungen zu dieser massiven Attacken begannen schon vor einem Monat: damals sorgten AngreiferInnen mit "Mpack", das den IFrame-Code, den Webdesigner verwenden, ausnutze, für eine Attacke auf rund 160.000 Rechner. Diese erste Welle war nur die Vorbereitung für diesen Server-Angriff. Experten vermuten daher, dass die Verseuchung der Server daher auch nur ein weiterer Zwischenschritt für eine kommende groß angelegte Attacke über das Internet sei.
Achtung
Die Sicherheitsexperten raten den AnwenderInnen bei Webseiten die eine Software-Installation einleiten oder voraussetzen sehr vorsichtig zu sein. UserInnen sollten keinen Software-Downloads zustimmen, außer es steht eine vertrauenswürdige Seite mit einem ebenso vertrauenswürdigen Provider dahinter. Die PCs sollten sicherheitstechnisch immer auf dem letzten Stand sein, ebenso die Antiviren-Software. Und, last but not least, immer darauf achten welche Mail-Attachments man öffnet.
Bereits über 11.000 Webseiten mit Trojaner verseucht
Der deutsche Sicherheitsspezialist Avira meldete, dass es bislang über 11.000 kompromittierte Webseiten ausfindig machen konnte. Die verseuchten Seiten wurden bereits von 115.000 Internetusern besucht, wobei rund zehn Prozent auf diesem Weg infiziert wurden. "Im Fokus des Angriffs war ein italienischer Serviceprovider. Daher handelt es sich bei den betroffenen Webseiten auch zumeist um solche in italienischer Sprache", erläutert Oliver Auerbach, Virenanalytiker bei Avira, im Gespräch mit pressetext.
Sammlung von Exploits
Das Verbreitungs- und Attackier-Tool Mpack verfügt über eine Sammlung an Exploits und auch detaillierte Statistiken. Die Sicherheitsexperten haben durch die Laboranalyse Zugriff auf die Statistiken von MPack erhalten, da sie auf dem gleichen Server wie der Trojaner verfügbar sind. Die betroffenen Homepages wurden mit einem zusätzlichen Inlineframe (iframe) versehen, wodurch eine weitere Seite geladen wird. Diese enthält dann den Exploitcode, der automatisch einen Trojaner auf den Rechner herunter lädt. Ausgenutzt werden dabei bekannte Lücken im verwendeten Browser. Dabei bleibt es allerdings nicht, denn "dieser Trojaner lädt weitere auf den PC, wobei auch Schadcodes mit Proxy-Funktionen dabei sind. Darüber kann beispielsweise Spam versendet werden", erläutert Auerbach.
IP-Adresse blockieren