PC-Ecke > # Security Center

Webseiten als Virenschleudern ...

(1/7) > >>

SiLæncer:
Internet-Tagebücher, so genannte Weblogs, liegen im Trend. Die Neugier der Internetsurfer, sich über das Leben anderer Nutzer zu informieren, birgt aber auch Gefahren.
      
Das US-Sicherheitsunternehmen Websense warnt davor, dass immer mehr Hacker auch darauf setzen, Viren, Würmer und Trojaner über Weblogs zu verbreiten. Im Rahmen einer Untersuchung seien mehrere Hundert Internetseiten ermittelt worden, auf denen virtuelle Schädlinge hinter Weblogs versteckt waren.

Geschickte Vorgehensweise

Die Vorgehensweise der Täter dabei ist gut durchdacht. So wird zum Beispiel ein renommierter Weblog-Anbieter ausgesucht, bei dem dann ein Blog angelegt und mit Spyware wie Keyloggern versetzt wird. Keylogger sind Programme, die sämtliche Tastaturanschläge des Users registrieren, speichern und an Dritte weiterleiten.

Mittels einer Spamflut oder Instant Messages, in denen der Link zum betreffenden Blog enthalten ist, werden dann Nutzer auf die präparierte Site gelockt. In manchen Fällen wird das Weblog auch einfach als Speichermechanismus genutzt. Hier werden dann Programme von Trojanern, die sich der User bereits anderswo eingefangen hat, abgerufen und auf dem Computer des Nutzers installiert.

Hacker bleiben meist unerkannt

Weblogs sind für Hacker besonders attraktiv, da deren Provider den Usern zumeist kostenlos großen Speicherplatz zur Verfügung stellen. Eine weitere Authentifizierung des Bloggers wird so gut wie nie verlangt.

Quelle : www.onlinekosten.de

SiLæncer:
MySpace entwickelt sich offenbar immer mehr zur Virenschleuder, die Besucher bereits beim Aufruf von Profilen und Seiten von Mitgliedern infiziert – ganz ohne Zutun des Nutzers. MySpace ist eine der größten englischsprachigen Social-Networking-Webseiten und hat bislang rund 100 Millionen Mitglieder registriert und verzeichnet wöchentliche Neuzugänge von über 500.000 Mitgliedern.

Nach Angaben von Michael La Pilla, einem Malware-Analysten des Sicherheitsdienstleisters iDefense, soll ein eingeblendetes Werbebanner eines Ad-Servers in den vergangenen Wochen versucht haben, Besucher von MySpace.com mit Spyware zu infizieren. Offenbar nutzten die Angreifer die Anfang des Jahres bekannt gewordene Lücke bei der Verarbeitung von WMF-Bildern in Windows.

Ein Patch steht zwar seit Januar zum Schließen der Lücke bereit, wer den aber immer noch nicht installiert hatte, bekam Spyware aus der PurityScan/ClickSpring-Familie untergeschoben, die den Nutzer mit Pop-ups zumüllt und sein Surf-Verhalten protokolliert. Eine türkische Webseite hätte dann unter anderem die Zahl der erfolgreichen Infektionen gezählt. Laut La Pilla sollen die dort abgelegten Daten darauf hingewiesen haben, dass rund eine Million Computer befallen wurden. Das ausgelieferte Werbebanner stammte von Deckoutyourdeck.com, danach verlieren sich die Spuren der Angreifer aber im Netz.

Anfang der Woche warnte MySpace seine Mitglieder zudem vor infizierten User-Profile-Seiten (about me), die über eine kürzlich veröffentlichte Lücke in Adobes Macromedia Flash Windows-PCs mit Würmer infizierten. Der soll dann wiederum die Profile-Seiten verunstaltet haben und Besucher auf Webseiten mit politischen Parolen umgeleitet haben.

Siehe dazu auch:

    * Hacked Ad Seen on MySpace Served Spyware to a Million, Security-Blog der Washington Post
    * MySpace Attacked by Flash Worm, Security-Blog der Washington Post

Quelle und Links : http://www.heise.de/security/news/meldung/75707

SiLæncer:
Ein Website, die eine Link-Sammlung zum bevorstehenden Halloween-Fest bereit hält, lädt mittels verschiedener Exploits Malware auf anfällige Windows-Rechner.

Wie Ivan Macalintal vom Antivirus-Hersteller Trend Micro im Weblog der Malware-Forscher berichtet, verbreitet eine Halloween-Website allerlei schädlichen Code. Die (zurzeit noch aktive) Website ist unter den vordersten Treffern bei Google, wenn nach Halloween-Themen gesucht wird.

Im HTML-Quelltext finden sich ganz am Ende der Seite zwei IFrames (Inline Frames, eingebettete Frames), die PHP-Seiten von einem russischen Web-Server laden (siehe Bild links). Diese Seiten enthalten verschleiernden Javascript-Code, der dazu dient, eine Web-Seite in das Browser-Fenster zu schreiben, die auch wieder Javascript-Code enthält. Dieser wiederum versucht etliche, teils ältere, teils neuere Sicherheitslücken im Internet Explorer auszunutzen. Damit soll eine Datei "win32.exe" auf den Rechner geladen und ausgeführt werden. Diese lädt weitere Schädlinge nach, die in JPEG-Dateien verborgen sind.

Der Besuch einer harmlos erscheinenden Website mit einem ungepatchten Internet Explorer kann also dazu führen, dass der eigene PC unter die Kontrolle eines russischen Kleinkriminellen gerät. Beim Besuch der Website mit Firefox oder Opera passiert hingegen - in diesem Fall - nichts. Die gute Nachricht ist, dass Google inzwischen eine Warnseite dazwischen schaltet, wenn Sie diese Website über einen Suchtreffer in Google aufrufen.

Quelle : www.pcwelt.de

SiLæncer:
Besucher der Website Asus.com bekommen derzeit unter Umständen Schadsoftware untergeschoben. Erste Hinweise erreichten heise Security im Verlaufe des gestrigen Abends. Das in eine Datei namens Tradue.com nachgeladene Programm erkennen die meisten aktuellen Virenscanner als PWS-Trojaner, der in erster Linie dem Passwortklau dient. Wer in den vergangenen Tagen die Website des Hardwareherstellers besucht hat, sollte seinen Rechner mit einem aktualisierten Antivirusprogramm auf Trojanerbefall überprüfen.

Im Quellcode der Webseite befindet sich ein unsichtbares IFRAME-Objekt, das auf JavaScript-Code vom Server www.ipqwe.com verweist, der offenbar nicht zu Asus gehört. Der dort hinterlegte Schadcode nutzt eine Schwachstelle im Active-X-Control RDS.Dataspace (MS06-014), die Microsoft am April-Patchday 2006 vor einem Jahr behoben hat, um den eigentlichen Trojaner nachzuladen und zu starten. Von dieser Schwachstelle sind nur Nutzer eines ungepatchten Internet Explorers betroffen.

Der Vorfall ist kein Einzelfall. Asus wurde in der Vergangenheit bereits mehrfach Opfer von derartigen Angriffen gegen seine Webserver. Ein Leserhinweis, der Schadcode versuche die erst vor wenigen Tagen gefixte ANI-Schwachstelle auszunutzen, konnte sich bislang nicht bestätigen. Trotzdem sollten IE-Benutzer vor dem Besuch der Asus-Website alle Windows-Updates einspielen, ihre AV-Software aktualisieren und sicherheitshalber vorübergehend ActiveX deaktivieren.

Siehe dazu auch:

    * Asus-Server als Virenschleuder, Meldung von heise Security -> http://www.heise.de/security/news/meldung/82637

Quelle : www.heise.de

SiLæncer:
Eine weitergehende Analyse des Schadcodes hat ergeben, dass er auf IE-Browsern wie vermutet auch die ANI-Lücke ausnutzt. Allerdings ist die vom Server www.yyc8.com nachgeladene Datei bm3.exe, die vermutlich ebenfalls einen Trojaner enthielt, inzwischen nicht mehr abrufbar. Der ANI-Exploit verläuft demnach zurzeit ins Leere.

Quelle : www.heise.de

Navigation

[0] Themen-Index

[#] Nächste Seite

Zur normalen Ansicht wechseln