Schadcode beim Lenovo-Treiber-Download [Update]

Ein eingebettetes IFrame mit einem Verweis auf einen chinesischen Server sorgt beim Besuch diverser Lenovo-Download-Seiten für Virenalarm.

In Pocket speichern vorlesen Druckansicht 114 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christiane Rütten

Das Treiber-Download-Portal des Hardware-Herstellers Lenovo hat vorübergehend Schadcode verteilt. Mehrere Virenscanner meldeten einen Java-basierten Trojaner-Downloader beziehungsweise -Dropper. Noch immer befindet sich der von den Angreifern hinterlegte IFrame mit Verweis auf den Server volgo-marun.cn auf mehreren Seiten des Servers download.lenovo.com.

Derzeit verlaufen die Verweise auf den chinesischen Server allerdings ins Leere, sodass keine akute Gefahr besteht. Auch die Browser Firefox und Chrome warnen ihre Anwender inzwischen vor Zugriffen auf den Server. Da Lenovo aber anscheinend noch nicht reagiert hat, steht die Sicherheitslücke möglicherweise noch offen, sodass die Angreifer unter Umständen jederzeit aktualisierte IFrame-Links in den Download-Seiten hinterlegen könnten.

Der verwendete Dropper ist bereits mindestens seit Ende Mai bekannt. Welchen Schadcode er letztlich nachgeladen hat, ist unklar. Im ThinkPad-Forum tauchten erste Hinweise auf die IFrames am vergangenen Samstagmittag auf. Wer in den vergangenen Tagen das Lenovo-Download-Portal besucht hat, sollte seinen Rechner mit aktualisierten Virensignaturen auf Einbruchsspuren untersuchen.

Update:
Es gibt nun konkrete Hinweise, dass es sich bei dem Dropper um das Phoenix-Kit und bei dem nachgeladenen Schädling um den Bredolab-Trojaner handelte. Mittlerweile wurde auch das IFrame aus den Lenovo-Seiten entfernt.
(cr)