MySQL.com verbreitet Windows-Malware

Die Seite MySQL.com ist eine der beliebtesten Open-Source-Seiten im Web. Hacker kaperten die Seite und verbreiteten so Schadsoftware.

Über MySQL wurden Nutzer von Windows-PCs infiziert, bevor das Sicherheitsleck auf der Seite geschlossen wurde. MySQL.com hatte schnell auf die Bedrohung reagiert und die Malware von den Servern wieder entfernt. Erst vor wenigen Wochen wurde mit Linux.org ebenfalls ein Open-Source-Repository von Hackern gekapert.

Allerdings liegen derzeit keine Zahlen vor, wie lange die Webseite von den Hackern kompromittiert war oder wie viele Besucher über MySQL.com infiziert wurden. Schätzungen zufolge, wird über 100.000 Mal täglich auf MySQL.com zugegriffen und im Schnitt sind das bis zu 34.000 Unique User.

Die Verbreitungsraten bei solchen Attacken sind in der Regel recht hoch. Derzeit ist aber auch noch unklar, wie groß die Bedrohung für die infizierten Nutzer ist. Der Chef des Sicherheitsanbieters Armorize Wayne Huang erklärt in einem Blog, dass diese Form der Malware vermutlich sehr schwer zu entfernen ist.

Armorize zeigt auf, wie die Hacker MySQL.com missbraucht haben. Quelle: Armorize
Armorize zeigt auf, wie die Hacker MySQL.com missbraucht haben. Quelle: Armorize

“Wir haben noch keine grundlegende Analyse erstellt, was genau diese Malware macht. Wir wissen, dass es einige der Windows .dll (Dynamic Link Libraries) verändert, vermutlich um die Malware dauerhaft zu installieren und sie ständig aktiv zu halten. Man kann es vermutlich wieder entfernen, aber es ist sicherlich kein trivialer Prozess.”

Inzwischen ist das Sicherheitsloch gestopft, doch eine Zeit lang konnten die Hacker die Besucher der Seite auf eine Seite mit einem BlackHole-Exploit umleiten, die den Browser zwingt, Malware auf dem Rechner zu installieren. Wie es von Armorize heißt: Ohne dass der Nutzer etwas davon merkt.” Denn der Besucher muss nichts klicken oder installieren. Allerdings können derzeit laut Armorize nur vier von 44 Anbietern von Sicherheitssoftware die Malware auch erkennen.

Brian Krebs von dem Blog Krebs on Security berichtete, dass er vor einigen Tagen in einem russischen Forum ein Angebot gesehen habe, das für 3000 Dollar administrativen Zugriff auf MySQL.com versprach. “Ich glaube, dass es sehr wahrscheinlich ist, dass dieser Angriff speziell mit diesen russischen Foren zusammenhängt”, erklärt daher auch Huang.

Weder von den Verantwortlichen von MySQL.com noch von Oracle liegt derzeit ein Kommentar vor.