12.04.2010, 00:00 Uhr
Warnung: Eine Welle von Webseiteninfektionen rollt durch die Schweiz
Die Melde- und Analysestelle Informationssicherung MELANI hat in den letzten Wochen eine Welle von Infektionen von Schweizer Webseiten festgestellt. Es handelt sich um gleichartige Veränderungen der Webseiten, welche in der Folge die Nutzer bei einem einfachen Besuch der Webseite mit der Malware BredoLab infizieren kann.
Tipps für Benutzer:
- Halten Sie das Betriebssystem und alle installierten Programme konstant auf dem neuesten Stand (Updates);
- Benutzen Sie eine aktuelle Antivirensoftware und einen Firewall;
- Laden Sie keine unbekannten Programme aus dem Internet herunter - klicken Sie auf Abbrechen" oder Nein", wenn sich ein Downloadfenster unerwartet öffnet;
- Seien Sie allgemein wachsam, wenn Sie im Internet surfen und achten Sie besonders auf ungewöhnliches Verhalten des Computers (unerwartete Pop-up-Fenster im Browser, Deaktivierung des Antivirenprogrammes, etc.)
Tipps für Webseitenadministratoren:
- Kontrollieren Sie den Sourcecode der Indexseite Ihrer Website. Die Infektion fügt typischerweise am Ende der Seite (nach dem Tag ) ein JavaScript ein.
- Das JavaScript ist verschleiert (obfuscated): Es handelt sich um eine Zeichenfolge, welche keinen offensichtlichen Sinn ergeben.
- Das verschleierte JavaScript ergibt nach der Rückübersetzung eine ccTLD-Adresse « .ru »
- Um diese Adresse aufzurufen wird typischerweise der Port 8080 verwendet.
- Nachdem Sie das JavaScript gelöscht haben, sollten Sie sicherstellen, dass Ihr Computer nicht infiziert ist.
- Die Kriminellen verwenden meist gestohlene FTP-Logindaten um auf den Server zuzugreifen und das JavaScript zu platzieren. Es wird daher dringend geraten, das Passwort für den FTP-Zugang zu Ihrem Webserver zu ändern.
(Patrick Hediger) http://www.melani.admin.ch
