JavaScript-Wurm schlängelte sich durch Social-Networking-Seite Orkut
Schätzungen von Symantec zufolge hat der Wurm in 24 Stunden fast 700.000 Profile von Anwendern infiziert. Der Wurm verbreitete sich den Analysen von Symantec und McAfee zufolge über die Scrapbooks von Orkut.
- Daniel Bachfeld
Zahlreiche Anwender von Googles "Sozialnetzwerk" Orkut sind Berichten zufolge einem Wurm anheimgefallen. Schätzungen von Symantec zufolge hat der JavaScript-Wurm in 24 Stunden fast 700.000 Profile von Anwendern infiziert. Der Wurm verbreitete sich den Analysen von Symantec und McAfee zufolge über die Scrapbooks von Orkut, also die Gästebücher, in die er HTML-Code einschleust, um weiteren speziellen JavaScript-Code (virus.js) von einer externen Seite nachzuladen.
Offenbar lockte der Wurm Anwender per E-Mail auf infizierte Scrapbooks. Beim Öffnen führte er sich dann im Browser des Anwenders aus und schrieb sich in dessen Scrapbook respektive Profil. Zusätzlich fügte er den betroffenen Anwender zu der Community mit dem portugiesischen Namen "Infectados pelo Vírus do Orkut" hinzu, was soviel wie "Infiziert durch den Orkut Virus" bedeutet. Der Wurm erzeugte laut dem Bericht von Symantec mittels JavaScript zwar Flash-Objekte, dabei scheint der Wurm aber keine der kürzlich bekannt gewordenen Lücken im Flash Player ausgenutzt zu haben. Vielmehr dienten die Objekte laut Beschreibung dazu, den Code ohne Nutzerinteraktion zu laden und zu starten. Die Möglichkeit JavaScript- und Flash-Inhalte in Scrapbooks hinzuzufügen, sollen erst vor Kurzem eingeführt worden sein.
Die PCs der Anwender wurden von dem Orkut-Wurm nicht befallen, das Problem blieb allein auf die Orkut-Seiten beschränkt. Mittlerweile ist das virulente Skript virus.js vom Netz genommen, auch die Scrapbooks sollen den Schadcode nicht mehr enthalten. Zudem soll Orkut Filter eingebaut haben, die zu Scrapbooks hinzugefügte Inhalte genauer unter die Lupe nehmen sollen. Der Vorfall demonstriert einmal mehr, wie schnell sich Schädlinge über Social-Networking-Seiten ausbreiten können, wenn Anwender mehr oder minder beliebige Inhalte in ihre Profile einfügen können. Ähnliche Probleme gab es unter anderem schon bei MySpace, bei dem das Betrachten eines eingeschleusten Quicktime-Videos genügte, um das eigene MySpace-Profil zu infizieren. Ende 2005 wurde MySpace von einem XSS-Wurm sogar fast lahmgelegt.
Siehe dazu auch:
- The Orkut Worm Has Landed!, Bericht von Symantec
- Orkut spam worm spotted!, Bericht von McAfee
(dab)
