News 09.07.2004, 08:45 Uhr

Trojaner verbirgt sich auf bekannten Websites (Update)

Zurzeit ist das Web für Benutzer des Internet Explorers besonders unsicher. Sie können sich beim Besuch verschiedener beliebter Firmen-Websites mit einem schädlichen Programm infizieren.
Das Sicherheitsunternehmen NetSec [1] warnt vor einer besonders perfiden Bedrohung. Auf mehreren beliebten Webseiten haben Cracker ein bösartiges Java-Script-Programm hinterlegt [2]. Dieses nutzt noch ungeflickte Lücken im Internet Explorer aus, um von einem Server aus Russland einen Trojaner [3] herunterzuladen [4]. Welche kritischen Funktionen der Schädling aufweist, untersucht NetSec zurzeit noch. Bekannt ist bereits jetzt, dass er Tastatureingaben ausspioniert. Der russische Server soll ausserdem eine berüchtigte Spam-Schleuder sein. NetSec befürchtet deshalb, dass der Trojaner ein Netzwerk aufbauen könnte, um später über die infizierten Rechner Massenmails zu versenden. Der Schädling wird von vielen Antiviren-Tools noch nicht erkannt, da er erst aufgetaucht ist. Das amerikanische SANS Institute [5] hat aber in Erfahrung gebracht, dass er den Dateinamen "msits.exe" trägt.
Auf welchen Seiten genau sich der Trojaner verbirgt, will NetSec wegen möglicher Klagen nicht verraten. Es soll sich aber um "sehr, sehr bekannte" Homepages handeln - darunter solche von Online-Auktions-Diensten, Suchmaschinen und Internetläden. Wie das Skript auf die Webserver gelangte, ist noch nicht klar. NetSec vermutet, dass eine bekannte Schwachstelle in Microsofts IIS-Web-Server-Software (Internet Information Services) ausgenutzt wurde. Laut Pressesprecher Christoph Hardy von Sophos scheinen nur ungepatchte Versionen von IIS 5 betroffen zu sein. Die Lücke werde wahrscheinlich mit dem Microsoft-Sicherheitsupdate vom 13. April geschlossen.
Momentan bleiben Anwendern nur wenige Möglichkeiten, um sich zu schützen. Sie können im Internet Explorer die Ausführung von Java-Skripts verhindern ("Extras/Internetoptionen/Sicherheit/Stufe anpassen") oder aber auf andere Browser wie Mozilla [6] und Opera [7] auszuweichen. Durch das Deaktivieren von Java-Skripts wird jedoch die Funktionalität vieler Websites eingeschränkt. Empfehlenswert ist ausserdem, den Virenscanner möglichst schnell zu aktualisieren. Die Antiviren-Hersteller werden sicher in Kürze neue Erkennungsdateien bereit stellen.
Update vom 25.06.2004, 16:50 Uhr:
Microsoft hat eine eigene Warnung zu dem neuen Trojaner veröffentlicht [8]. Der Softwareriese bestätigt, dass nur IIS 5.0 betroffen ist und der Patch vom 13. April (MS04-011) die entsprechende Lücke schliesst. Internet Explorer können folgendermassen überprüfen, ob sie sich den Trojaner über einen infizierten IIS-Server eingefangen haben: Auf der Festplatte nach den Dateien "Kk32.dll" und "Surf.dat" suchen und anschliessend diese mit einem aktualisierten Antiviren-Programm scannen. Die meisten Hersteller haben mittlerweile ihre Erkennungsdateien upgedatet.


Kommentare

Es sind keine Kommentare vorhanden.