[Warning] wetter.com verteilte Malware
Christian Wojner
wojner at cert.at
Thu May 17 11:01:44 CEST 2012
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
wetter.com verteilte Malware
16. Mai 2012
Achtung vor Drive-by-Downloads von wetter.com in den vergangenen Tagen.
Aufgrund der Beliebtheit der Webseite - geschätzte 10% der PCs einer
größeren Organisation surften die Seite wetter.com im Zeitraum
14.5.-15.5. an - haben wir uns entschlossen, folgende Warnung
herauszugeben.
Beschreibung
Wie [1]heise.de berichtet hat, ist über eine Lücke der OpenX
Werbebanner Software auf der Webseite www.wetter.com zuletzt am
15.5.2012 Schadsoftware verteilt worden. Der genaue Anfangszeitpunkt
ist uns nicht bekannt. Eine Stellungnahme von wetter.com bezüglich des
tatsächlichen Anfangszeitpunktes steht noch aus.
Soweit uns bekannt ist, wurde Besuchern der Seite, die keine Adblock
Software installiert hatten unter Umständen ohne ihr Wissen
Schadsoftware installiert. CERT.at ist bekannt, dass es verschiedene
Varianten von Schadsoftware gab, eine davon ist ein [2]fake-BKA
Trojaner.
Auswirkungen
Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
Systeme gefährdet.
Betroffene Systeme
Potentiell betroffen waren Rechner, welche die Seite im relevanten
Zeitraum angesurft hatten und die
* keinen AdBlocker (bzw. NoScript) installiert hatten und
* Browser verwendet haben, die nicht das Safe-Browsing-API nutzen
Empfehlungen
Für Systemadministratoren
CERT.at empfiehlt, daß Systemadministratoren ihre Proxy-Logs
beziehungsweise Firewall-Logs ansehen, um festzustellen, welche PCs im
relevanten Zeitraum die Seite www.wetter.com angesurft haben.
Anschließend könnte es sich auszahlen, diese PCs mit aktuellester
Antivirensoftware zu scannen beziehungsweise deren Aktivitäten unter
genauerere Beobachtung zu stellen.
Für Endbenutzer
Wir raten dazu, den eigenen PC mit Antiviren Software zu scannen
beziehungsweise sogar mit offline Antivirus Software (von CD bootbar)
zu überprüfen.
Hinweise
Bei Unternehmen mit mehreren PCs empfiehlt es sich, Proxy-Logs oder
Firewall-Logs für den Fall bereit zu haben.
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, und auch auf Servern sich
automatisch die verfügbaren Updates anzeigen zu lassen.
__________________________________________________________________
Informationsquelle(n):
Weiterhin Virenalarm auf Wetter.com
[3]http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html
References
1.
http://www.heise.de/security/meldung/Virenalarm-auf-Wetter-com-1575304.html
2. http://bka-trojaner.de/
3.
http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAk+0vncACgkQZjWyIncLRhcr5QCfTcwGp1WYXmE2Pgd34WfiKCe8
zpcAoLXLkXnQHlUQztYt29YENY8UrTvd
=tz1W
-----END PGP SIGNATURE-----
More information about the Warning
mailing list