PC-Welt.de als Virenschleuder missbraucht
Mindestens am Freitag und Samstag vergangener Woche haben Unbekannte Malware über die Website des Magazins PC-Welt verbreitet. Nach Angaben der Betreiber ist die Site inzwischen wieder sauber.
- Ronald Eikenberg
Mindestens seit vergangenem Freitag haben Unbekannte die Website der PC-Welt zum Verbreiten von Windows-Malware missbraucht. Der Angriffscode befand sich bis zum Samstag, den 26.01.2013 auf der Site, die auch über Domains wie digital-world.de und newstube.de erreichbar ist. Wer das Portal Ende vergangener Woche besucht hat, muss damit rechnen, dass sein PC virenverseucht ist und sollte einen Komplettscan mit einem bootfähigen Virenscanner wie Windows Defender Offline durchführen. Laut den Betreibern ist die Site inzwischen wieder sauber, die zum Angriff genutzte Lücke wurde allerdings noch nicht gefunden.
Nutzer von Google Chrome erwartete vergangenen Samstag beim Aufruf von pcwelt.de eine beunruhigende Warnmeldung vom Browser: "Diese Website enthält Malware!". Dass es sich nicht um einen Fehlalarm handeln konnte, wurde beim Aufruf der verlinkten Diagnoseseite klar. Dort heißt es: "In den letzen 90 Tagen haben wir 2088 Seiten der Website überprüft. Dabei haben wir auf 186 Seite(n) festgestellt, dass Malware (schädliche Software) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. [...] Die Malware umfasst 40 exploit(s)".
Gegenüber heise Security erklärte PC-Welt, dass über die Website des Magazins vermutlich bereits seit Freitag vergangener Woche Schadcode verteilt wurde. Die unbekannten Täter manipulierten eine JavaScript-Datei auf dem Server, wodurch beim Aufruf der Site ein zusätzlicher iFrame generiert wurde. Dieses zeigte auf eine Angriffsseite des Exploit Kits RedKit, die den Rechner des Webseitenbesuchers laut einer Analyse von heise Security über eine Schwachstelle in älteren Adobe-Reader-Versionen anzugreifen versuchte.
Bei der eingeschleusten Malware handelt es sich offenbar um einen klassischen Bot, der im Fall einer erfolgreichen Infektion des Systems mit verschiedenen URLs zu kommunizieren versucht. Hinter denen erwartet er wohl seine Command-and-Control-Server. Darauf, dass ein eventuell vorhandener Virenscanner die Malware blockiert hat, kann man sich nicht verlassen: Am Montagnachmittag wurde die Datei beim Signaturscan von VirusTotal nur von 7 der 45 eingesetzten AV-Engines erkannt.
Laut PC-Welt wurde die Infektion am Samstag entdeckt, nachdem Chrome die oben zitierte Meldung anzeigte. Der Angriffscode wurde im Laufe des Tages entfernt und um 22:30 gelang es dann auch, Google davon zu überzeugen, dass die Site wieder sauber ist. Die Schwachstelle, durch die der Angriffscode auf den Server geschleust wurde, hatten die Betreiber am Montagnachmittag noch nicht identifiziert. (rei)
