Großangriff auf Internet Explorer-Nutzer

Das Internet wird von einem neuen Hackerangriff erschüttert. “Neu ist, das diesmal die Hoster von sehr populären Websites angegriffen werden”, so Dan Frasnelli, Manager of Technical Assistance Center beim Sicherheitsunternehmen NetSec. Bedroht seien dabei weniger die “Heimat-Server” der Sites, als vielmehr Server, die Seiteninhalte cachen.
Nach Angaben von Sicherheitsexperten dringen die Hacker in Server mit Microsoft’s Software ‘Internet Information Services Web Server’ ein und hinterlegen ein bösartiges Java-Script. Durch zwei Schwachstellen im Internet Explorer gelangt die Malware auf die Rechner der ahnungslosen Opfer. Microsoft kennt die Lücken, hat sie aber noch nicht gepatcht.

Die Löcher werden bereits von Hackern genutzt, um unbemerkt ‘Adware’ zu installieren. Diese Software baut automatische Verbindungen zu Werbeseiten auf und öffnet Pop-up-Fenster. Deshalb ermittelt jetzt das FBI.

“Von der aktuellen Attacke sind Tausende populäre Websites bedroht”, heißt es von den Experten. Die Gefahr ist so groß, dass sich das US-Ministerium für Heimatschutz eingeschaltet hat. “Die Anwender sollten sich dessen bewusst sein, dass jede Website bösartigen Code enthalten kann”, warnt die Behörde.

Welche Websites bislang betroffen sind, wollten die Sicherheitsprofis nicht sagen. “Wir werden die Sites nicht nennen, aber die Liste ist lang”, teilte das ‘Internet Storm Center’ mit. Darunter seien auch Seiten, die “gepatcht sein sollten”. Auch NetSec lehnte es ab, Namen zu nennen. Es handele sich unter anderem um eine Auktion, eine Suchmaschine und einen Preisvergleich, sagte Brent Houlahan, Chief Technology Officer von NetSec.

Nach seinen Angaben ist das bösartige Script an eine Grafik oder ein Bild angehängt. Internet-Nutzer laden das Script bei einem Besuch einer Website unbemerkt auf ihren Rechner. Gefährdet sind nur Anwender, die Windows und den Internet Explorer verwenden.

Das Script verbindet den infizierten Rechner mit einem Server in Nordamerika oder in Russland und lädt von diesen weiteren bösartigen Code herunter. Darunter ist auch der Trojaner ‘RAT’. Dieser zeichnet die Tastatureingaben auf und sendet sie an den Autor des Codes. Außerdem öffnet RAT auf dem Rechner eine Hintertür, über die er Befehle empfangen kann.

Nach Auskunft von Houlahan ist die IP-Adresse des russischen Servers als Spam-Quelle bekannt. Daher sei es wahrscheinlich, das Spammer mithilfe des Scripts ein Rechner-Netzwerk aufbauten, dass sie zum Versenden von Spam nutzen wollten. “Es kann aber auch sein, dass ein großer Überlastungsangriff vorbereitet wird”, so Houlahan. Eine solche Denial-of-Service-Attacke auf den Webhoster Akamai hatte am 16. Juni die Sites von Apple, Google, Microsoft und Yahoo für etwa zwei Stunden lahmgelegt.

NetSec, ein Anbieter von ‘Managed Security Services’, hat nach eigenen Angaben seinen Kunden Intrusion-Detection-Signaturen zur Verfügung gestellt und die IP-Adressen der Spam-Server in Nordamerika und Russland blockiert. Von den Anti-Virus-Unternehmen gebe es derzeit noch keine Signaturen, hieß es. Houlahan rät deshalb zu drastischen Maßnahmen: “Ich habe meiner Frau gesagt, dass sie eine Website wie die unserer Bank nur aufrufen soll, wenn es unbedingt notwendig ist. Am besten, sie unterlässt es ganz.”

“So lange Microsoft keinen Patch für die Schwachstellen zur Verfügung stellt, bleiben alle Anwender des Internet Explorers verletzbar”, hieß es vom Internet Storm Center. Redmond lehnte gegenüber der Nachrichtenagentur AP zunächst einen Kommentar ab.