29. Jan. 2013
Wie gestern via heise.de
Link:
www.heise.de/newsticker/meldung/PC-Welt-de-als-Virenschleuder-missbraucht-1792716.html
bekannt wurde, wurden die Webseiten von der
PC-Welt.de als Virenschleuder missbraucht.
Kann
vorkommen - darf meiner Meinung nach nicht passieren.
Immerhin sprechen wir hier nicht von der Webseite von
Pillermann oder von Pullerman, sondern von den Webseiten
eines renommierten Verlages, der natürlich eine sehr große
Anzahl von Besuchern verzeichnen darf.
Schätzungsweise seit Freitag, 25. Januar bis Samstag 26.
Januar 2013 haben Unbekannte die Website der PC-Welt zum
Verbreiten von Windows-Malware missbraucht. Wer also letzte
Woche die www.pcwelt.de besucht hat, sollte einen
Komplettscan mit einem bootfähigen Virenscanner wie Windows
Defender Offline durchführen. Also nehmen Sie nicht ihren
normalen Virenscanner!!! Den bootfähigen Windows Defender
Offline können Sie via unten stehenden Link downloaden.
Link:
http://windows.microsoft.com/de-DE/windows/what-is-windows-defender-offline
Laut pcwelt.de ist die Webseite mittlerweile wieder
o.k., jedoch wurde die zum Angriff genutzte Lücke noch nicht
gefunden. Heise.de berichtet weiter: „Nutzer von Google
Chrome erwartete vergangenen Samstag beim Aufruf von
www.pcwelt.de eine beunruhigende Warnmeldung vom Browser:
"Diese Website enthält Malware!". Dass es sich nicht um
einen Fehlalarm handeln konnte, wurde beim Aufruf der
verlinkten Diagnoseseite -
http://www.google.com/safebrowsing/diagnostic?site=www.pcwelt.de
-
klar. Dort heißt es: "In den letzen 90 Tagen haben
wir 2088 Seiten der Website überprüft. Dabei haben wir auf
186 Seite(n) festgestellt, dass Malware (schädliche
Software) ohne Einwilligung des Nutzers heruntergeladen und
installiert wurde. [...] Die Malware umfasst 40 Exploit(s)".
Die unbekannten Täter manipulierten eine
JavaScript-Datei auf dem Server, wodurch beim Aufruf der
Seite ein zusätzlicher iFrame generiert wurde. Dieses zeigte
auf eine Angriffsseite des Exploit Kits RedKit, die den
Rechner des Webseitenbesuchers laut einer Analyse von heise
Security über eine Schwachstelle in älteren
Adobe-Reader-Versionen anzugreifen versuchte.
Bei der
eingeschleusten Malware handelt es sich offenbar um einen
klassischen Bot, der im Fall einer erfolgreichen Infektion
des Systems mit verschiedenen URLs zu kommunizieren
versucht. Hinter denen erwartet er wohl seine Command-and-Control-Server.
Darauf, dass ein eventuell vorhandener Virenscanner die
Malware blockiert hat, kann man sich nicht verlassen: Am
Montagnachmittag wurde die Datei beim Signaturscan von
VirusTotal nur von 7 der 45 eingesetzten AV-Engines erkannt.
Laut PC-Welt wurde die Infektion am Samstag entdeckt,
nachdem der Webbrowser Google Chrome die Meldung anzeigte.
Der Angriffscode wurde im Laufe des Tages entfernt und um
22:30 Uhr gelang es dann auch, Google davon zu überzeugen,
dass die Seiten wieder sauber sind. Die Schwachstelle, durch
die der Angriffscode auf den Server geschleust wurde, hatten
die Betreiber am Montagnachmittag noch nicht identifiziert.
Wie war das mit der Sicherheit? Meiner Meinung nach wird
einfach zu wenig darauf geachtet und so etwas rächt sich
dann! Vom entstandenen Imageschaden will ich gar nicht
sprechen …
Wenn Sie einen Kommentar
hinterlassen möchten, dann senden Sie einfach eine E-Mail.
Ein paar Regeln zum Kommentieren gilt es zu beachten: Ich
nehme gerne jeden passenden Kommentar auf, der die Regeln
des Anstands, der Höflichkeit und des Respekts beachtet.
Bitte bedenke, dass ich jeden Kommentar aufbereite und evtl.
genauere Details recherchieren muss, um die Qualität meines
Blogs beizubehalten. Es besteht also ein Zeitfenster
zwischen Einsendung des Kommentars und der Veröffentlichung
des Kommentars.
Ich veröffentliche keine E-Mail Adresse und keine weiteren Daten
von Dir, außer Deinen Vornamen als Kommentierenden. Deine E-Mail
Adresse wird weder verkauft noch zu Werbezwecken eingesetzt.
Sende Deinen Kommentar einfach an:
Thomas Lang