Groß angelegter Angriff auf Web-Anwender im Gange

Joined
Oct 22, 2002
Messages
11,561
Points
300
Mehrere Hersteller von Sicherheitssoftware warnen derzeit vor einer breit angelegten Attacke auf Web-Anwender. So will etwa Websense mehr als 10.000 europäische, vornehmlich italienische Webserver entdeckt haben, die versuchen, Besucher mit Trojanern zu infizieren. In der Regel soll es sich dabei um harmlose Server für Touristik, Hotels, Auto und Kino handeln, die gehackt und deren Seiten mit einem zusätzlichen IFrame ausgestattet wurden – dazu genügt eine Zeile Code, die ein Web-Admin nicht so ohne Weiteres entdeckt.

Der IFrame lädt Code von einem weiteren Server nach, auf dem das Web-Exploit-Toolkit MPACK zum Einsatz kommt. Das soll in der Lage sein, das Betriebssystem und den verwendeten Browser des PC des Opfers zu erkennen und dafür explizit zugeschnittene Exploits auszuprobieren. So ist das Toolkit nicht nur fähig, ungepatchte Lücken im Internet Explorer auszunutzen, sondern auch solche in Firefox und Opera. Auch Lücken in QuickTime nutzt es aus. Allerdings scheint MPACK nur auf bekannte Lücken zu setzen, für die es längst Updates der Hersteller gibt.

Glaubt man der integrierten Statistik von MPACK, sollen bereits mehr als hunderttausend Anwender die infizierte Seite nachgeladen haben, mehr als zehntausend ihre PCs mit einem Schädling infiziert haben. Dieser soll Bankdaten ausspähen und Tastatureingaben mitlesen. Eine genaue Analyse von MPACK hält Panda Software auf seinen Seiten bereit: MPACK uncovered. Der Antiviren-Hersteller Avira rät Anwendern, den Zugriff auf den MPACK-Server mit der IP-Adresse 64.38.33.13 zu blockieren.

Update
Ein im Blog von Trend Micro veröffentlichter Screenshot verdeutlicht, wie ein IFRAME aussehen kann, der auf einen MPACK-Server zeigt. Anwender sollten ihre Seiten gegebenenfalls auf ähnliche Einträge hin untersuchen und diese entfernen. Zudem ist die Manipulation ein Hinweis darauf, dass es im System eine Sicherheitslücke gibt, über die ein Angreifer jederzeit wieder eindringen kann. Dazu sind weitere Analysen notwendig.

http://www.heise.de/newsticker/meldung/91345

Wer eine lange nicht mehr aktualisierte Browserversion verwendet, für den ist es vielleicht jetzt ein guter Zeitpunkt zu aktualisieren. (Neuere Firefoxversionen machen das unter Windows AFAIK automatisch. Ansonsten kann man auch unter "Hilfe" -> "Firefox aktualisieren" nach Updates suchen.)

Wer Proxomitron als Werbefilter für seinen Browser benutzt, kann den Zugriff auf die IP-Adresse 64.38.33.13 auch blockieren, indem er den Eintrag

[#64].[#38].[#33].[#13]

seiner Adhosts-Datei hinzufügt und anschließend die Blocklisten neu läd. Wie das Schritt für Schritt geht versuche ich mal mit ein paar Screenshots zu erklären:

Schritt 1


Schritt 2


Schritt 3


Schritt 4

Schritt 5: Fertig
Wer sich nicht ganz sicher ist, lässt Schritt 5 besser aus. :)


Wichtig:
Das funktioniert nur, wenn der Browser vorher so konfiguriert wurde, dass er Proxomitron auch verwendet. Andernfalls wird die Seite, die eigentlich geblockt werden sollte, doch aufgerufen und man fängt sich als Windowsnutzer u. U. einen Schädling ein. Wie man Proxomitron installiert und den Browser einrichtet steht hier.
 
Schritt 2 kann man übergehen indem man beim rechtsklick auf das icon einfach auf "blockliste bearbeiten" geht und dann die AdHosts datei auswählt.
 
Back
Top Bottom