[Warning] wetter.com verteilte Malware

Christian Wojner wojner at cert.at
Thu May 17 11:01:44 CEST 2012


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
 
                          wetter.com verteilte Malware

   16. Mai 2012

   Achtung vor Drive-by-Downloads von wetter.com in den vergangenen Tagen.

   Aufgrund der Beliebtheit der Webseite - geschätzte 10% der PCs einer
   größeren Organisation surften die Seite wetter.com im Zeitraum
   14.5.-15.5. an - haben wir uns entschlossen, folgende Warnung
   herauszugeben.

Beschreibung

   Wie [1]heise.de berichtet hat, ist über eine Lücke der OpenX
   Werbebanner Software auf der Webseite www.wetter.com zuletzt am
   15.5.2012 Schadsoftware verteilt worden. Der genaue Anfangszeitpunkt
   ist uns nicht bekannt. Eine Stellungnahme von wetter.com bezüglich des
   tatsächlichen Anfangszeitpunktes steht noch aus.

   Soweit uns bekannt ist, wurde Besuchern der Seite, die keine Adblock
   Software installiert hatten unter Umständen ohne ihr Wissen
   Schadsoftware installiert. CERT.at ist bekannt, dass es verschiedene
   Varianten von Schadsoftware gab, eine davon ist ein [2]fake-BKA
   Trojaner.

Auswirkungen

   Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
   Systeme gefährdet.

Betroffene Systeme

   Potentiell betroffen waren Rechner, welche die Seite im relevanten
   Zeitraum angesurft hatten und die
     * keinen AdBlocker (bzw. NoScript) installiert hatten und
     * Browser verwendet haben, die nicht das Safe-Browsing-API nutzen

Empfehlungen

Für Systemadministratoren

   CERT.at empfiehlt, daß Systemadministratoren ihre Proxy-Logs
   beziehungsweise Firewall-Logs ansehen, um festzustellen, welche PCs im
   relevanten Zeitraum die Seite www.wetter.com angesurft haben.
   Anschließend könnte es sich auszahlen, diese PCs mit aktuellester
   Antivirensoftware zu scannen beziehungsweise deren Aktivitäten unter
   genauerere Beobachtung zu stellen.

Für Endbenutzer

   Wir raten dazu, den eigenen PC mit Antiviren Software zu scannen
   beziehungsweise sogar mit offline Antivirus Software (von CD bootbar)
   zu überprüfen.

Hinweise

   Bei Unternehmen mit mehreren PCs empfiehlt es sich, Proxy-Logs oder
   Firewall-Logs für den Fall bereit zu haben.

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, und auch auf Servern sich
   automatisch die verfügbaren Updates anzeigen zu lassen.
     __________________________________________________________________

   Informationsquelle(n):
   Weiterhin Virenalarm auf Wetter.com
  
[3]http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html

References

   1.
http://www.heise.de/security/meldung/Virenalarm-auf-Wetter-com-1575304.html
   2. http://bka-trojaner.de/
   3.
http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
 
iEYEARECAAYFAk+0vncACgkQZjWyIncLRhcr5QCfTcwGp1WYXmE2Pgd34WfiKCe8
zpcAoLXLkXnQHlUQztYt29YENY8UrTvd
=tz1W
-----END PGP SIGNATURE-----




More information about the Warning mailing list