Bereits über 11.000 Webseiten mit Trojaner verseucht

Der deutsche Sicherheitsspezialist Avira http://www.avira.com hat einen groß angelegten Angriff auf europäische Webseiten gemeldet. Das Unternehmen konnte bislang über 11.000 kompromittierte Webseiten ausfindig machen. Die verseuchten Seiten wurden bereits von 115.000 Internetusern besucht, wobei rund zehn Prozent auf diesem Weg infiziert wurden. "Im Fokus des Angriffs war ein italienischer Serviceprovider. Daher handelt es sich bei den betroffenen Webseiten auch zumeist um solche in italienischer Sprache", erläutert Oliver Auerbach, Virenanalytiker bei Avira, im Gespräch mit der Presse.

Gehackt wurden die Server mithilfe des Hackertools MPack. Dieses Verbreitungs- und Attackier-Tool verfügt über eine Sammlung an Exploits und auch detaillierte Statistiken. Die Sicherheitsexperten haben durch die Laboranalyse Zugriff auf die Statistiken von MPack erhalten, da sie auf dem gleichen Server wie der Trojaner verfügbar sind. Die betroffenen Homepages wurden mit einem zusätzlichen Inlineframe (iframe) versehen, wodurch eine weitere Seite geladen wird. Diese enthält dann den Exploitcode, der automatisch einen Trojaner auf den Rechner herunter lädt. Ausgenutzt werden dabei bekannte Lücken im verwendeten Browser. Dabei bleibt es allerdings nicht, denn "dieser Trojaner lädt weitere auf den PC, wobei auch Schadcodes mit Proxy-Funktionen dabei sind. Darüber kann beispielsweise Spam versendet werden", erläutert Auerbach.

Für einen erfolgreichen Hack auf diesem Weg reicht es, eine einzige Codezeile einzufügen, was für den Web-Administrator zudem schwer zu erkennen sei, heißt es. Avira empfiehlt einen alternativen Browser zum Internet Explorer zu verwenden, Sicherheitspatches unbedingt zu installieren und sicherzustellen, dass die eingesetzte Antivirensoftware auf dem aktuellsten Stand ist. Zudem raten die Sicherheitsexperten die IP-Adresse 64.38.33.13. zu blockieren. Dabei handelt es sich um den MPack-Server, von dem aus verschiedene Schadcodes geladen werden. Mittlerweile wurde der entsprechende Server jedoch vom Netz genommen. "Damit ist die Gefahr zwar kurzfristig gebannt, jedoch werden die Hacker irgendwo anders wieder aktiv werden und das Spiel beginnt von vorne", so Auerbach abschließend gegenüber der Presse.