Gehackt wurden die Server mithilfe des Hackertools „MPack“. Dieses Malware- Verbreitungs- und Attackier- Tool verfügt über eine Sammlung an Exploits (= Programm, das eine Sicherheitslücke in einem Computersystem ausnützt) und auch detaillierte Statistiken. Die Sicherheitsexperten haben durch die Laboranalyse Zugriff auf die Statistiken von MPack erhalten, da sie auf dem gleichen Server wie der Trojaner verfügbar sind.
Die betroffenen Homepages wurden mit einem zusätzlichen Inlineframe (quasi einer Site in der Site) versehen, wodurch eine weitere Seite geladen wird. Diese enthält dann den Exploitcode, der automatisch einen Trojaner auf den Rechner herunter lädt. Ausgenutzt werden dabei bekannte Lücken im verwendeten Browser. Dabei bleibt es allerdings nicht, denn „dieser Trojaner lädt weitere auf den PC, wobei auch Schadcodes mit Proxy- Funktionen dabei sind. Darüber kann beispielsweise Spam versendet werden“, erläutert Auerbach.
Für einen erfolgreichen Hack auf diesem Weg reicht es, eine einzige Codezeile einzufügen, was für den Web- Administrator zudem schwer zu erkennen sei, heißt es. Avira empfiehlt einen alternativen Browser zum Internet Explorer zu verwenden, Sicherheitspatches unbedingt zu installieren und sicherzustellen, dass die eingesetzte Antivirensoftware auf dem aktuellsten Stand ist.
Zudem raten die Sicherheitsexperten die IP- Adresse 64.38.33.13. zu blockieren. Dabei handelt es sich um den MPack- Server, von dem aus verschiedene Schadcodes geladen werden. Mittlerweile wurde der entsprechende Server jedoch vom Netz genommen. „Damit ist die Gefahr zwar kurzfristig gebannt, jedoch werden die Hacker irgendwo anders wieder aktiv werden und das Spiel beginnt von vorne“, so Auerbach abschließend. (pte)
© 2011 Krone.at
| Impressum
