Virenautoren nutzen Wikipedia zur Verbreitung von Schädlingen

Offenbar versuchen Autoren von Schadsoftware das Renommee der freien Online-Enzyklopädie Wikipedia zur Infektion von PCs mit Schadsoftware zu nutzen. In einer am gestrigen Dienstag verbreiteten Massenmail wurden die Empfänger aufgefordert, ein vermeintliches Sicherheitsupdate für Windows von einer Wikipedia-Webseite herunterzuladen.

Die Attacke machte sich Wikipedia gleich mehrfach zu Nutze. So kam zumindest ein Teil der Mails vorgeblich von offiziellen Wikipedia-Mailadressen. In der Mail wurde das offizielle Wikipedia-Logo verwendet und mit der Überschrift "Wikipedia warnt" vor einer neuen Variante des Virus Lovesan/W32.Blaster gewarnt. Der Text verwies dabei auf einen Wikipedia-Artikel, in dem Links auf die Domain wikipedia-download.org enthalten waren. Von dieser Webseite sollten sich die Mailempfänger die vermeintlich neuen Patches herunterladen. Ganz frech behauptete der Artikel sogar, aufgrund des neuen Blaster-Angriffs seien Microsofts Server überlastet, weshalb Microsoft Wikipedia gebeten habe, bei der Verteilung der Updates zu helfen.

Die Mailversender machten sich dabei eine Eigenart der Wikipedia-Software Mediawiki zu Nutze. Die Software speichert nämlich aus Dokumentationsgründen alle einzelnen Versionen eines Artikels. Aufmerksame Wikipedia-Autoren hatten den falschen Warntext und die Links im Wikipedia-Artikel über W32.Blaster sofort bemerkt und in wenigen Minuten rückgängig gemacht. Die alten Versionen waren aber weiterhin abrufbar, sodass die Mailversender darauf verlinken konnten. Erst nachdem die Wikipedia-Administratoren auf die Massenmail aufmerksam wurden, wurden die betroffenen Artikelversionen aus der Versionshistorie entfernt. Der Link aus den Mails führt jetzt nur noch zu einer Fehlermeldung.

Auch die vermeintliche Wikipedia-Downloadseite war kurze Zeit später nicht mehr erreichbar. Bei einem ersten Test der Updates mit mehr als 20 Virenscannern meldete zwar keiner der Scanner einen Virus, eine Analyse in einer Sandbox lieferte allerdings Hinweise, dass es sich um einen Schädling handeln muss. Was er aber genau macht, ist Gegenstand weiterer Untersuchungen.

Ein Sprecher der deutschen Wikipedia bestätigt den Vorfall gegenüber heise online. In Zukunft würden die Administratoren verschärft auf solche Manipulationen achten und entsprechende Artikelversionen schneller aus der Versionshistorie löschen. Ob die Wikimedia Foundation oder der Verein Wikimedia Deutschland wegen Missbrauch ihrer Marken- und Domainnamen rechtliche Schritte ergreifen werden, ist noch unklar. (Torsten Kleinz) / (dab)