Indischer Antivirenhersteller als Virenschleuder

8. April 2008, 16:00
2 Postings

Webseite von Hackern manipuliert - iFrame als Angriffsmethode - Virus-Verbreitung dürfte sich in Grenzen halten

Eine Produkt-Webseite des indischen Antiviren-Herstellers AvSoft ist vorübergehend zur Virenschleuder mutiert. Berichten zufolge wurde der Online-Auftritt von Hackern manipuliert, um Malware zu verbreiten. "Es steckt vielleicht eine gewisse Art von Humor dahinter", meint Magnus Kalkuhl, Virenanalyst von Kaspersky Labs, im Gespräch mit pressetext. Eventuell wolle sich ein Hacker damit brüsten, den deklarierten Feind getroffen zu haben. Bei der Angriffsmethode griffen die Hacker auf die Integration eines bösartigen Inlineframes (iFrame) zurück, der versucht die Computer von Besuchern mit dem Virus der Virut-Familie zu infizieren.

Prinzip

"Prinzipiell ist ein iFrame ein HTML-Befehl, der dazu gedacht ist, Inhalte von anderen Webseiten anzuzeigen", erklärt Kalkuhl. Was eigentlich als nützliche Option gedacht ist, birgt aber Gefahren. iFrames können so gestaltet werden, dass bösartiger Code ausgeführt wird, ohne dass der Nutzer davon etwas mitbekommt. Auch als Phishing-Methode sind sie denkbar. Ein geeignet gestaltetes iFrame im Look der Original-Webseite könnte Nutzer nach Passwörtern oder anderen Daten fragen.

Simpel

Der Einsatz der Methode ist einfach. "Ein Hacker muss nur einmal geeigneten Zugriff auf ein System bekommen, um ein iFrame zu platzieren", erklärt Kalkuhl. Im Falle der SmartCOP-Webseite vermuten McAfee-Experten, dass ein Fehler in der SQL- oder PHP-Programmierung das erlaubt hat. "Wenn Inhalte aus einer SQL-Datenbank generiert werden und jemand Zugriff auf die Datenbank hat, hat er indirekt Zugriff auf die Webseite", hält Kalkuhl einen derartigen Vorfall für möglich. Zur Platzierung von iFrames bieten sich zudem Schwachstellen in Content-Management-Systemen oder Foren an, die eine Verwendung von HTML in Postings erlauben.

"über 10.000 Server in Italien gehackt"

Seit 2007 entwickeln sich bösartige iFrames zu einem wichtigen Angriffsvektor für Cyberkriminelle, meint Kalkuhl. "Im letzten Jahr wurden in einem Fall über 10.000 Server in Italien gehackt, darunter große, seriöse Unternehmen", nennt der Virenanalyst ein Beispiel. Dabei setzten die Angreifer auf automatisierte Werkzeuge zur Suche nach Schwachstellen, etwa ungeschützt abgelegte Passwörter in bestimmten Standardpfaden. "Die Angreifer haben auch nicht die Zeit, sich jede Seite einzeln anzusehen", bezeichnet Kalkuhl das als logische Entwicklung.

Schaden

Die Virus-Verbreitung über die SmartCOP-Webseite von AvSoft dürfte sich in Grenzen halten. Zum einen meinten Experten, dass sie gut dokumentierte Lücken nutzt und Anwender mit aktuell gepatchter Software und einer laufenden Antiviren-Lösung kaum getroffen werden können. Ferner haben heute, Freitag, Beobachter gemeldet, dass der schädliche iFrame bereits entfernt sei. (pte)

  • Artikelbild
    pte
Share if you care.