Beginn Inhaltsbereich

Beginn Navigator

Verlaufsnavigation

Ende Navigator



Webseiteninfektionen: Eine Welle rollt durch die Schweiz

MELANI hat mehrere Dutzend gleichartige Infektionen von Schweizer Webseiten festgestellt. Ratschläge für Benutzer und Administratoren.

Zurzeit besteht erhöhte Gefahr, seinen Computer unbewusst durch einfaches Surfen im Netz via so genannten Drive-by-Download (siehe Kapitel 3.2 MELANI Halbjahresbericht 2009/I) zu infizieren.

MELANI hat in den letzten Wochen eine Welle von Infektionen von Schweizer Webseiten festgestellt. Es handelt sich um gleichartige Veränderungen der Webseiten, welche in der Folge die Nutzer bei einem einfachen Besuch der Webseite mit der Malware BredoLab infizieren kann.

Tipps für Benutzer:

  • Halten Sie das Betriebssystem und alle installierten Programme konstant auf dem neuesten Stand (Updates);
  • Benutzen Sie eine aktuelle Antivirensoftware und einen Firewall;
  • Laden Sie keine unbekannten Programme aus dem Internet herunter - klicken Sie auf „Abbrechen" oder „Nein", wenn sich ein Downloadfenster unerwartet öffnet;
  • Seien Sie allgemein wachsam, wenn Sie im Internet surfen und achten Sie besonders auf ungewöhnliches Verhalten des Computers (unerwartete Pop-up-Fenster im Browser, Deaktivierung des Antivirenprogrammes, etc.)

Tipps für Webseitenadministratoren:

  • Kontrollieren Sie den Sourcecode der Indexseite Ihrer Website. Die Infektion fügt typischerweise am Ende der Seite (nach dem Tag </html>) ein JavaScript ein.
  • Das JavaScript ist verschleiert (obfuscated): Es handelt sich um eine Zeichenfolge, welche keinen offensichtlichen Sinn ergeben.
  • Das verschleierte JavaScript ergibt nach der Rückübersetzung eine ccTLD-Adresse « .ru »
  • Um diese Adresse aufzurufen wird typischerweise der Port 8080 verwendet.
  • Nachdem Sie das JavaScript gelöscht haben, sollten Sie sicherstellen, dass Ihr Computer nicht infiziert ist.
  • Die Kriminellen verwenden meist gestohlene FTP-Logindaten um auf den Server zuzugreifen und das JavaScript zu platzieren. Es wird daher dringend geraten, das Passwort für den FTP-Zugang zu Ihrem Webserver umgehend und danach regelmässig zu ändern.
Zurück zur Übersicht Newsletter

Zuletzt aktualisiert am: 09.04.2010

Ende Inhaltsbereich