Erneuter Massenhack von Webseiten

Am vergangenen Pfingstwochenende haben Hacker abermals einen Link auf ein bösartiges JavaScript in hundertausende Webseiten injiziert. Das Skript leitet Besucher auf eine andere Seite weiter, auf der ein vermeintliches Video liegt, für das der Anwender einen Codec benötige – bei dem feilgebotenen Download handelt es sich jedoch um einen Trojaner der Zlob-Familie.

Dem Internet Storm Center zufolge handelt es sich bei den gehackten Webseiten zumeist um Installationen des phpBB-Forums. Welche Schwachstellen die kriminellen Drahtzieher hinter dem Massenhack ausgenutzt haben, ist derzeit noch unklar. Trend Micro spekuliert, dass es sich um schlecht konfigurierte Installationen oder veraltete Software-Fassungen von phpBB handelt, die Sicherheitslücken aufweisen. Eine Suche mit Google nach dem eingebetteten JavaScript liefert derzeit knapp 200.000 infizierte Webseiten zurück.

Wer den angebotenen Codec installiert, bekommt nicht nur den Zlob-Trojaner, sondern auch einen DNSChanger, der die DNS-Einträge von Windows auf gefälschte Server setzt – diese liefern etwa auf Anfragen nach Bankenseiten die Adressen von Phishing-Seiten zurück. Der vermeintliche Codec lädt außerdem noch weiteren Unrat nach. Die Erkennung durch Virenscanner ist durchwachsen: Avast, CA, Gdata, McAfee, NOD32, Panda und Symantec erkannten den Schädling noch nicht, mehr als ein Drittel der Virenscanner aus dem letzten c't-Virenscannertest.

Währenddessen fand am Wochenende laut dpa auf deutsche Webseiten wie die der Stadt Essen ein Angriff statt, weshalb die Administratoren die Server vorläufig vom Netz nahmen. Insgesamt seien Angriffe auf 600 deutsche Webseiten gefahren worden. Weitere Details wie die Urheber der Angriffe oder deren Zweck nennt dpa jedoch nicht.

Siehe dazu auch:

• Mass File Injection Attack, Meldung des Internet Storm Center
• More of The Same: Another Half Million Web Sites Compromised, Eintrag in Trend Micros Sicherheits-Blog
• Verseuchte Links auf ARD-Seiten, Meldung auf heise Security

(dmk)