Infizierte Webseiten

Akut gefährdet im Netz: infizierte Webseiten

Seit einigen Jahren ist das Netz zu einem immer gefährlicher werdenden Platz geworden. Zweitens ist es verhältnismäßig leicht, Straftaten im Netz zu begehen: Infolgedessen hat sich die Cyberkriminalität in den letzten Jahren zu einem Milliardengeschäft gewandelt. Deshalb verändern Internetkriminelle ihre Taktiken laufend, was sich in zwei Tendenzen widerspiegelt: Zum einen wird Malware weiterentwickelt, die sogenannte Zero Day-Schwachstellen ausnützt.

Dadurch können Rechnersysteme befallen werden, die zwar auf dem neusten technischen Niveau sind, aber keine geeignete Sicherheits-Software haben. Andererseits stehlen immer mehr Schadprogramme geheime Daten und vertreiben sie auf dem Schwarzmeer. Dies beinhaltet Kreditkarten-Nummern, Bankkontoinformationen, Passwort für Websites wie eBay oder auch für Online-Spiele wie World of Warcraft.

Zusätzlich zu den derzeitigen Trends im Cybercrime ist die Verbreitung von Malware über das World Wide Web ein anderer Trends. Damit ist das Netz in den letzten Jahren zur bedeutendsten Drehscheibe für Malware geworden. Schädliche Software wird auf Webseiten abgelegt; anschließend wird der Benutzer entweder selbst dazu verleitet, diese Software zu aktivieren, oder die Malware wird auf den Computern der Betroffenen mittels eines Exploits vollautomatisch gestartet.

In den letzten drei Jahren haben die Analytiker von Caspersky Lab zwischen 100.000 und 30.000 virenfreie Websites (Webfragmente) untersucht, um festzustellen, wann sich Malware über diese Websites ausbreitete. Die obige Übersicht zeigt die maximale registrierte Infektionsrate der im Laufe des Berichtsjahres betrachteten Websites - ein deutlicher Zuwachs ist zu verzeichnen: von rund einer befallenen Website von der Gesamtzahl von rund zwanzigtausend in 2006 bis zum aktuellen Höchstwert von einer erkrankten Website von 150 zu Beginn des Berichtsjahres Seitdem gibt es keinen signifikanten Zuwachs.

Die Sättigungsgrenze kann dadurch überschritten werden, d.h. alle infektiösen Stellen sind erkrankt. Die Anzahl der befallenen Websites nimmt jedoch mit dem Entstehen von neuen Sicherheitslücken und Werkzeugen zu, die es dem Angreifer erlauben, neue Rechner anzugreifen. In den beiden nachfolgenden Übersichten sind die am meisten entdeckten Schädlinge auf Websites in den Jahren 2008 und 2009 aufgeführt:

Trojan-Clicker JS.Agent. h rangierte 2008 auf Platz eins der gängigsten Malware-Programme, knapp dahinter folgt Trojan-Downloader.JS.Iframe.oj. Trojan-Clicker JS.Agent. h ist ein typischer Fall einer Malware-Infektion im Jahr 2008 und auch 2009: Ein kleines JavaScript-Fragment wird der Website beigefügt, das durch Verschleierung getarnt wird ("Verschleierung" ist eine Methode, die die wahre Berechnung von Programmen in ihrem Programmcode durch aufwändigste Programmierungen verschleiert), um die Auswertung zu unterdrücken.

Bei dem entschlüsselten bösartigen Code handelt es sich in der Regel um einen Frame, der auf eine Website mit Angriffen umgeleitet wird. Auf der Startseite befinden sich in der Regel Angriffe auf den Browser Microsoft Explorer, Microsoft Windows Explorer, Microsoft Windows Vista, Windows Explorer und Windows-Explorer. Im Jahr 2009 gab es zwei sehr spannende Beispiele von Malware, einer davon war Net-Worm.JS.Aspxor.a. Obwohl diese Malware im Jahr 2008 aufgedeckt wurde, verbreitete sie sich im Jahr 2009 viel rascher und weiter.

Er arbeitet mit einem Tool, das SQL Injection Verwundbarkeiten in Webseiten aufspürt. Dann werden die Schwachpunkte dazu mißbraucht, gefährliche Bilder einzubauen. Der im verzerrten Java-Script erkennbare Gummistring ist hier ein deutliches Indiz dafür, dass eine Website angesteckt ist. Besonders tatkräftig war die Firma Gummibärchen im Monat September 2009. Derzeit sind Websites im Wesentlichen auf drei Wegen mit Malware infiziert:

Der erste beliebte Weg der Infektion ist die Ausnutzung von Sicherheitslücken in den Webseiten selbst, wie z.B. SQL-Injection. Angriffswerkzeuge wie ASPXor arbeiten so: Sie können massive IP-Adressen überprüfen und dann bei Bedarf Malware über Sicherheitslücken infiltrieren. In den Zugriffsprotokollen von Web-Servern kann diese Angriffsart oft nachvollzogen werden. Bei der zweiten Möglichkeit wird ein Webmaster/Administrator-Rechner mit Malware infiziert.

Der dritte gebräuchliche Weg, Webseiten mit Malware zu befallen, ist der folgende: Der Webmaster/Administrator bzw. ein Computer mit Zugang zu einem Webhosting-Server ist mit einem Passwort stehlenden Trojanern (z.B. Trojan-Ransom.Win32.Agent. ey) infiltriert. Das Server-seitige Werkzeug sucht dann die SQL-Datenbank, meldet sich bei allen FTP-Konten an, unterbricht die Startseite, ergänzt den mit dem Virus befallenen Quellcode und startet dann die neue Version.

Im dritten Falle werden die Daten des Webhosting-Accounts verändert, so dass es immer wieder vorkommt, dass der Webmaster/ Administrator die Ansteckung erkennt oder dass er von den Seitenbesuchern auf die Ansteckung hingewiesen wird. Dann wird die Vorlage gereinigt, aber am folgenden Tag wiederhergestellt. Oftmals verwenden unterschiedliche Cyberkriminelle die gleiche Verwundbarkeit oder Berechtigung für das Web-Hosting zur gleichen Zeit.

Wenn dies der Fall ist, kommt es zum Wettbewerb zwischen Cyberverbrechern, die alle die Website mit ihrer eigenen Malware befallen wollen. Beispiel: Am 10. Mai 2009 war die betrachtete Website noch clean; am 10. August 2009 wurde sie mit Trojan-Clicker.JS.Agent. gk infiltriert. Es wurde am 16. August 2009 eine weitere Malware (Trojan-Downloader.JS.Iframe.bin) hinzugefügt.

Das ist verhältnismäßig verbreitet, und viele Websites sind in der Tat immer wieder mit Malware angesteckt, die von diversen Online-Betrügern nach und nach ergänzt wird. Wenn Ihre Website angesteckt ist, sollten Sie die nachfolgenden Schritte unternehmen: Die Tatsache, dass infizierte Websites oft nach der Reinigung neu angesteckt werden, geschieht in der Regel nur einmal. Während die nach der Erstinfektion getroffenen Massnahmen oft nur ansatzweise sind, wird der Webmaster/Administrator seine Website im Falle einer erneuten Infektion sicher viel sorgfältiger schützen.

In einigen FÃ?llen wird Malware immer noch auf offenbar befallenen Websites bereitgestellt, zum Beispiel in China (wo es immer noch schwer ist, sie auszuschalten ), wÃ?hrend Malware nun vermehrt auf Domains bereitgestellt wird, die in sich selbst sauber sind. Ein wichtiger Aspekt im permanenten Ringen zwischen Cyberkriminellen und Sicherheitsfirmen ist die Veränderlichkeit und Anpassbarkeit beiderseits.

Die aktuellen Browserversionen wie z. B. Mozilla 3.5, Mozilla 2.0 und Mozilla Explorer sind mit URL-Filtern gegen Malware abgesichert. Dieses Feature schützt Anwender vor Webseiten, die Sicherheitslücken aufdecken. Zum Beispiel verwenden sowohl Mozilla und Chrome die API von Googles Safe Browsing, einen kostenfreien URL-Filterdienst von Googles.

Aktuell umfasst die Malware-Liste der Safe Browsing API etwa 300.000 bösartige Websites und mehr als zwanzigtausend Phishing-Sites. Bei der API von Googles Safe Browsing werden die Adressen nicht invertiert durchsucht. Anstatt jede URL zur Verifizierung an einen Dritten zu schicken, wie es der Phishingfilter von Microsoft Windows macht, werden die Adressen mit einer MD5-Prüfsumme abgeglichen.

Dies hat den Vorteil, dass es mehr infizierte Webseiten gibt als Eintragungen in der Mailingliste MD5. Um nicht zu groß zu werden (derzeit sind diese 12 MB groß), werden nur die am meisten angetroffenen befallenen Webseiten in die Datenbank übernommen. Nachteilig ist, dass Benutzer mit bösartigem Code auf nicht aufgelisteten Webseiten infiziert werden können, selbst wenn ihr Webbrowser die Such-API von Googles Safe Browsing verwendet.

Der Einsatz sicherer Browsertechnologien ist ein Indiz dafür, dass Browser-Entwickler die Neigung zur Ausbreitung von Malware über Websites erkennen und gegensteuern können. Die Zahl der mit Malware infizierten Websites ist in den letzten drei Jahren deutlich angestiegen. Es gibt heute mehr als hundert Mal so viele infizierte Websites im Netz wie vor drei Jahren.

Populäre Websites mit einem hohen Datenverkehr werden oft von Internet-Kriminellen zur Verbreitung von Schadsoftware mißbraucht. Webmasters und Verwalter sollten diese einfache Sicherheitshinweise befolgen, um eine Infektion ihrer Website zu vermeiden: Backup-Kopien updaten, mit denen die Website im Fall einer Infektion rasch wieder hergestellt werden kann. Gewisse Gründe erhöhen das Infektionsrisiko beim Surfing.

Piratenkopien sind ein wichtiger Faktor bei der Infektion von Computern. Das heißt, dass Benutzer vollkommen schutzlos sind, wenn Internetkriminelle neue Sicherheitslücken ausspionieren. Außerdem sind die älteren Fassungen des Internets Explorer - immer noch der am häufigsten verwendete Internetbrowser - sehr anfällig für Exploits. Grundsätzlich kann jede infizierte Website eine ungepatchte Variante von Internetexplorer 6.0 ausnützen.

Selbst wenn das Betriebssystem selbst auf den neuesten Stand gebracht wird, kann es durch Null-Tage-Schwachstellen in der Anwendung durch Dritte angesteckt werden. Beispiel: Ein Benutzer läd einen witzigen Video-Clip aus dem Intranet. Wenn er den Film sehen will, erweist er sich jedoch als Malware, ein populärer Kunstgriff für Cyberkriminelle, die ein Computer- und Computersystem nicht mit Angriffen durchsetzen.

Gerade Nutzer sozialer Netzwerke sollten daher beim Internetsurfen auf ihren Verstand setzen, denn immer häufiger werden Internetkriminelle auf die Seite von Facebook und ähnlichem geschossen.