News

Chinesischer Massenhack Teil 2

Vorgestern erlebten wir den Startschuss zu dem neusten Massenhack, wobei Websites geknackt und mit einem Link versehen werden, der zu einem schädlichen Server führt. Wir schätzen, dass in den letzten Tagen zwischen 2000 und 10 000 Server, hauptsächlich in Westeuropa und Amerika, gehackt wurden. Bisher ist noch nicht klar, wer dafür verantwortlich ist.
Wir sind immer noch damit beschäftigt, herauszufinden, wie die Sites genau gehackt wurden, doch unterm Strich erscheinen zwei Szenarien am wahrscheinlichsten: Der Einsatz einer SQL-Injection oder die Verwendung von bereits gestohlenen Accounts zu den entsprechenden Websites. Eine Gemeinsamkeit besteht darin, dass die meisten gehackten Sites auf irgendeinem Typ von ASP-Engine laufen.
Das Ausmaß dieser Angriffswelle ist zwar nicht mit dem ersten “Chinesischen Massenhack” im Frühjahr dieses Jahres vergleichbar, der mehr als 1,5 Millionen Webressourcen betraf. Aber die Sache befindet sich immer noch im Entwicklungsstadium und die Ähnlichkeit der Schadprogramme, die in beiden Fällen verwendet wurden, brachte uns zu dem Schluss, dass diese neue Angriffswelle eine potentielle Gefahr darstellt.

Wie funktionieren die Attacken?

Die Angreifer fügen dem html der gehackten Sites den Tag < script src=http://******/h.js > hinzu.
Der Link führt zu einem Java Script, das sich auf einem von sechs Servern befindet. Diese Server funktionieren als Gateways für weitere Umleitungen von Anfragen. Sechs dieser Gateways haben wir bereits identifiziert und der Blacklist in unserem Antivirus-Produkt hinzugefügt.

Wir empfehlen allen Systemadministratoren den Zugriff auf diese Seiten zu blockieren:
Alle Besucher der gehackten Websites werden unbemerkt auf einen schädlichen Server namens vvexe.com umgeleitet, der sich in China befindet. Daraufhin kommen Exploits zum Einsatz, die zum Angriff auf die Anwendercomputer verwendet werden.
Derzeit werden verschiedene Exploits eingesetzt, die Sicherheitslücken im Internet Explorer, im Macromedia Flash Player und die ActiveX-Schwachstelle (MS08-053) ausnutzen, für die Microsoft vor nicht einmal zwei Monaten ein Patch veröffentlicht hat. Einige Exploits richten sich gegen die Anwender von Firefox.
Die folgenden Schadprogramme werden auf der Site von unserem Antivirus entdeckt:
Ist Ihr Rechner von nur einem dieser Exploits angreifbar, so wird es von einem weiteren Schadprogramm, Trojan-Downloader.Win32.Hah.a, befallen.
Dieser Trojaner ist in der Lage, weitere Schädlinge herunter zu laden, deren Anzahl und Dateien in einer speziellen Konfiguraionsdatei auf vvexe.com site abgelegt sind.
Gestern konnten wir den Download von drei Trojanern beobachten:
Trojan-GameThief.Win32.WOW.cer – Ein Trojaner, der Zugangsdaten von World of Warcraft-Accounts stiehlt.
Trojan-Spy.Win32.Pophot.gen – Ein weiteres Spionageprogramm, das Daten stiehlt und zudem versucht, eine Reihe von Antiviren-Lösungen zu löschen.
Trojan.Win32.Agent.alzv – Dieser Trojaner lädt weitere Spionagetrojaner herunter, und zwar Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty.
Wenn Sie eine Website besitzen oder verwalten, die eine ASP-Engine verwendet, überprüfen Sie alle Seiten auf das Vorhandensein von Links wie z.B.: . Sollten Sie fündig werden, so löschen Sie den Link. Denn nicht nur Ihre eigene Sicherheit steht auf dem Spiel, sondern jeder, der Ihre Site benutzt, setzt sich der Gefahr einer Infizierung aus!

Chinesischer Massenhack Teil 2

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach