Russischer Trojaner: noch nicht alle Webserver gesäubert (Update)

Ende Juni machte ein neuer Schädling namens "Download.Ject" (auch als JS.Scob.Trojan bekannt) von sich Reden [1]. Er infizierte Webserver, die mit einer ungepatchten Version der Windows-Software IIS 5.0 (Internet Information Services) liefen. Danach lud das schädliche "Download.Ject"-Skript [2] heimlich einen weiteren Trojaner [3] von einem russischen Server auf PCs, welche die betroffenen Webseiten besuchten.

Trotz des grossen Presseechos und den Warnungen der Sicherheitsfirmen scheinen noch nicht alle Administratoren ihre Maschinen auf "Download.Ject" geprüft zu haben. Wie die Sicherheitsfirma Websense [4] bei einem Routine-Scan feststellte, wird es noch immer über mindestens 114 Homepages verteilt. Die meisten dieser Seiten verwenden seltsamerweise die neue IIS-Version 6. Diese sollte vor "Download.Ject" sicher sein. Websense nimmt aber nicht an, dass eine Lücke in IIS 6 vorhanden ist, sondern die Administratoren ihre Maschinen erst nach der Infizierung von der 5er Version auf IIS 6 aktualisiert haben.

Welche Webseiten betroffen sind, will Websense nicht bekannt geben. Es sei aber keine der 500 populärsten Homepages darunter. Die Sicherheitsfirma kontaktiert zurzeit die Administratoren der verseuchten Webserver. Anwendern kann "Download.Ject" nicht mehr gefährlich werden. Der russische Server, auf dem sich der Trojaner befand, ist nicht mehr online. Ausserdem hat Microsoft kürzlich einen Patch veröffentlicht, der zumindest vor "Download.Ject" schützt [5].