Nach ein paar Monaten Ruhe, SQL Web Attack Spreads neu

Ein Botnet-Netzwerk gehackter Computer ist in den letzten Tagen wieder ins Leben gerufen worden und hat begonnen, Websites zu infizieren, die PCs von ahnungslosen Besuchern angreifen.

Benannt Asprox, nach dem Toolkit in Englisch: bio-pro.de/en/region/stern/magazin/…2/index.html Dieses Attentat erregte im Mai und Juni Aufmerksamkeit, als es schätzungsweise Zehntausende von Webseiten auf mehr als 1.000 Web - Domains infizierte, die typischerweise die Websites kleiner Unternehmen, Schulen und lokaler Regierungen infizierten.

"Nach einigen Monaten von keiner Aktivität, dieses Botnet ist zurück zu seinen alten Tricks, "schrieb Gary Warner, Direktor der Forschung in der Computerforensik mit der Universität von Alabama in Birmingham, in einem Donnerstagblogbeitrag.

[weiterlesen: Wie man Schadprogramm von entfernt Ihr Windows PC]

Sicherheitsanbieter SecureWorks hat den Angriff "vor ein paar Tagen" aufgegriffen, als es laut Jason Milletary, einem Sicherheitsforscher des Unternehmens, einen Anstieg der sogenannten SQL-Injection-Angriffe gegen die Kunden des Unternehmens bemerkte. Es ist jedoch nicht klar, ob die Angriffe so virulent wie zuvor sind, sagte er.

Bei einem SQL-Injection-Angriff nutzen die Kriminellen Datenbank-Programmierfehler aus, um Webseiten dazu zu bringen, ihren Angriffscode zu veröffentlichen. Mit Asprox wird dieser SQL-Injection-Prozess automatisiert, so dass Malware innerhalb kürzester Zeit zu einer Vielzahl von Websites hinzugefügt werden kann.

Asprox fügt ein wenig JavaScript-Code auf der gehackten Website ein, die ein unsichtbares HTML-Element generiert, genannt ein iFrame, der wiederum den Angriffscode startet. Laut Warner nutzen zumindest einige Samples des aktuellen Asprox-Codes einen Fehler im Flash Player von Adobe.

Forscher der Sicherheits-Watchdog-Gruppe Shadowserver geben an, dass sie mehr als 2.000 Webseiten verfolgt haben, die durch diese neueste Asprox-Attacke infiziert wurden, viel weniger Webseiten als mit der ersten Version der Malware angegriffen wurden.

In einem E-Mail-Interview sagte Mike Johnson von Shadowserver, dass die Asprox-Bande ihre Malware überarbeitet, die Konfigurationsdateistruktur ihres Codes geändert und neue hinzugefügt hat Befehls- und Steuercomputer, die sie in der Vergangenheit nicht verwendet haben. "Es sieht fast so aus, als würden sie von vorne anfangen, nachdem sie die Kontrolle über das vorherige Botnetz verloren haben", sagte er.

Asprox ist derzeit kein großes Problem für die meisten Web-Benutzer, sagen Sicherheitsexperten; Es ist nur ein weiteres Zeichen für die allgegenwärtigen Gefahren im Web.

"Die Leute sollten bösartige Websites erwarten", sagte Johnson. "Die Leute sollten erwarten, dass unschuldige Seiten irgendwie kompromittiert werden, in Form oder Form, die ihrerseits versuchen, den Browser anzugreifen."