TeamSpeak-Forum verbreitete Trojaner [Update]
Angreifer sind in den Server von goteamspeak.com eingedrungen, haben dort die infizierte Datei patch.exe abgelegt und anschließend alle Mitglieder aufgefordert, die Datei herunterzuladen.
- Daniel Bachfeld
Mitglieder des offiziellen TeamSpeak-Forums goteamspeak.com haben unter Umständen einen Schädling untergeschoben bekommen. TeamSpeak ist eine für Online-Spiele optimierte Sprachkonferenzlösung. Nach Darstellung von Bastian Schaar von TeamSpeak Systems sind unbekannte Angreifer über eine bekannte Lücke in der Forensoftware vBulletin 3.6.5 in den Foren-Server eingedrungen, haben dort die infizierte Datei patch.exe abgelegt und anschließend per Mailverteiler alle registrierten Forum-Mitglieder, ausgenommen TeamSpeak-Systems-Mitarbeiter, dazu aufgefordert, den "Patch" herunterzuladen und zu installieren: "Now you can download new Team Speak patch. It will help you to use our Team Speak servers. We advise you to download it now!"
Was der Schädling genau macht, ist unklar, ersten Analysen zufolge weist er Eigenschaften eines Trojaners auf. Die Sicherheitslücke soll mittlerweile geschlossen und der Trojaner von den Seiten entfernt sein. Laut TeamSpeak-Systems wurden alle Forum-Mitglieder per E-Mail über den Vorfall informiert. Anwender, die die beschriebene Datei bereits installiert haben, sollten mit einem Virenscanner ihr System untersuchen. Sofern die Datei noch nicht installiert ist, genügt es, sie zu löschen.
Update
Wie die Angreifer in den Server eingedrungen sind, scheint entgegen ersten Hinweisen doch nicht abschließend geklärt zu ein. So funktioniert der für eine SQL-Injection-Schwachstelle aufgetauchte Exploit nur unter DeluxeBB. Die zunächst auch in vBulletin vermutete Sicherheitslücke hat sich jedoch nicht bestätigt.
Siehe dazu auch:
- [WARNING] Virus/Phish in the form of Teamspeak Patch Email?, Warnung im TeamSpeak-Forum
(dab)
