Dynamische Malware infiziert Webseiten

Britische Webseiten sind derzeit einer neuartigen Angriffsmethode ausgesetzt, die einen dynamischen Infektionsweg benutzt, der bekannte Schutzmechanismen aushebelt und zu ständigen Neuinfektionen führt.

Der Sicherheitsanbieter ScanSafe hat bisher etwa 230 britische Webseiten ermittelt, die von dynamischen JavaScript-Modulen angegriffen werden, welche sich nur sehr schlecht entfernen lassen. “Auch wenn die Hosting-Unternehmen sehr fleißig daran arbeiten, werden die Systeme immer wieder kompromittiert”, erklärte Mary Landesman, Sicherheitsforscherin bei ScanSafe.

“Die Sache ist nicht mit bereinigen und wiederherstellen erledigt. Der Angriff ist technisch extrem ausgereift”, ergänzte Landesman. Die Komplexität des Angriffes beruhe vor allem darauf, dass bisher noch nicht geklärt sei, wie die Systeme infiziert und nach einer Reinigung erneut befallen würden, so Landesman. Derzeit forscht ScanSafe zusammen mit Sicherheitsforschern von SecureWorks an diesem Problem.

Anfänglich sind die Forscher davon ausgegangen, dass ein Rootkit-artiges Kernelmodul für die Neuinfizierungen verantwortlich ist. Da aber bereits eine Reihe von Hostern die Apache-Kernel neu aufgebaut haben und trotzdem neu infiziert werden, scheint sich diese Theorie nicht zu bestätigen.

Nicht nur der Weg der Schadprogramme auf die Webseite ist dynamisch, sondern auch die Art und Weise, wie befallene Seiten die Schadprogramme weiterleiten. Ein Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht. Dies erschwere die Erkennung für Virenscanner.

Zu den Namen der Hoster der schätzungsweise 230 betroffenen Webseiten wollte ScanSafe keine Angaben machen. Auch seien verlässliche Angaben über die tatsächliche Anzahl der manipulierten Seiten nicht möglich, da sich die betroffenen Seiten erst dann als infiziert zu erkennen geben, wenn sie ihren Schadcode an Besucher weitergeben. Außerdem seien die JavaScript-Dateien nach dem Besuch nicht mehr nachzuweisen.

“Ein Administrator, der seine Webseite nach Anzeichen für eine Infektion durchsuchen würde, würde keine finden”, warnte Landesman. “Wir wissen also nicht, wie viele Hosts infiziert sind.”

ScanSafe empfiehlt beunruhigten Unternehmen, Hinweise an die Besucher im Internet auszugeben und diese dazu zu ermutigen, JavaScript in ihrem Browser zu deaktivieren. Auch wenn dadurch die Web-Funktionalitäten deutlich eingeschränkt würden.