Ein Hacker-Angriff hat weit über 100'000 Webpages betroffen, darunter auch solche in den englischen und japanischen Viren-Enzyklopädien des Antivirenherstellers Trend Micro. In die Webseiten eingefügter JavaScript-Code sollte Nutzer zu schädlichen Seiten umleiten, wo sie weiterer Malware ausgesetzt wurden.

Trotz des grossen Volumens an infizierten Sites könnte die Zahl geschädigter Nutzer gering bleiben. "Ich gehe davon aus, dass es etwa 20'000 Pages waren, auf denen der Schadcode wirklich funktioniert hat", meint Raimund Genes, Trend Micro CTO Anti-Malware, im Gespräch mit 'pressetext'. Allerdings ist die Angriffsmethode im Prinzip für das Internet von grosser Bedeutung.

Die aktuelle Attacke war massiv. Codefragmente waren bereits am Freitag auf 165'000 Pages zu finden, inzwischen dürfte diese Zahl noch deutlich gestiegen sein. Die tatsächliche Bedrohung aber war geringer. "Das JavaScript wurde auf den Trend-Micro-Pages automatisch als HTML codiert", erklärt Genes. Dadurch wurde der Schadcode nicht direkt ausgeführt. Ähnliches dürfte für viele andere Seiten gelten, sodass nur ein Bruchteil der betroffenen Pages Nutzer automatisch umleitet.

Eine dabei angesteuerte Domain mit Malware-Seiten sei Trend Micro schon vor Entdeckung des Angriffs auf die eigenen Seiten in der Vorwoche bekannt gewesen. Inzwischen sei sie durch Zusammenarbeit mit dem chinesischen "Computer Emergency Readiness Team" vom Netz genommen worden.

Entgegen ersten Medienberichten handelte es sich nicht um eine Attacke mit iFrames, so Genes. "Es war eine Javascript-Insertion über SQL-Injection", erklärt er. Unabhängig von der spezifischen gewählten Angriffstechnologie zeigt der aktuelle Massenangriff allerdings klar, dass sich Malware-Attacken vermehrt von E-Mail-basierten Angriffen hin zur Verbreitung über das Web verlagern. Immerhin neun von zehn Servern seien laut WhiteHat Security angreifbar, betont Genes.

Ansatzpunkt für Angriffe sind häufig interaktive Elemente wie die Suchfunktionen in Trend Micros Viren-Ezyklopädie. "Interaktive Webseiten sind am verwundbarsten", erläutet der Malware-Experte. Hier kann es schwer sein, Manipulationen zu entdecken. Statische Webseiten hingegen sind leicht auf Veränderungen zu prüfen.

Beim aktuellen Angriff wurden Webseiten offenbar automatisch nach Lücken gescannt und es wurde versucht, den Schadcode einzubauen. Diese automatisierten Massenangriffe können zwar viele Seiten infizieren, träfen aber eher selten wirklich bekannte und wichtige Pages, wie Genes erläutert. Im aktuellen Fall hat es mit Trend Micro einen bekannten Antiviren-Hersteller erwischt. Die betroffenen Seiten der Viren-Enzyklopädie zählen aber als weiterführende Informationsquellen nicht zu den kritischsten Web-Ressourcen des Unternehmens, betont Genes. Wirklich auffällige Angriffe etwa auf die Startseiten wichtiger Organisationen seien meistens zielgerichtet. (pte)