Trojaner »Lizamoon« verbreitet sich rasant

Manfred Kohlen,
SicherheitSicherheitsmanagement

Gestern lieferte der Security-Anbieter ein Update zu der vor zwei Tagen entdeckten Verbreitung eines neuen Digitalfieslings, der sich per SQL-Injection auf Servern einnistet. , um von dort aus einen Trojaner zu verbreiten.

Dem Originalericht nach sind schon »viele« Websites betroffen – doch die (zumindest bei ihren Überschriften) sensationshungrige IT-Journalistin Emma Woollacott von TGDaily hat passend zum 1. April gleich »mehr als eine Million« daraus gemacht, was sicherlich noch auf einigen anderen Websites unhinterfragt wiedergekäut wird.

Bei der Menge der URLs auf den Websites stimmen die Millionen allerdings: Die vielen infizierten Einzelseiten auf den nicht ganz so vielen Websites summiert sich nach Googe-Suche doch auf 1,5 Millionen.

Die Bedrohung ist kein Scherz, sondern sehr echt: In den letzten 24 Stunden hatte »Lizamoon« (benannt nach der ersten Website, von der die Malware nachgeladen wurde) sich in einer in diesem Maße selten dagewesenen Cyberattacke massiv per SQL Injection auf vielen Servern eingenistet.

Betroffen seien laut Websense vor allem Maschinen, die verschiedene Versionen von Microsoft SQL Server nutzten – nicht wegen Schwächen der SQL-Server, sondern Schwächen der Redaktionssysteme auf diesen Servern seien die Webseiten so leicht zu kapern.

Auf den so erreichten Websites wurde ein Javacript hinterlassen, das nichts Gutes im Sinn hat: Der Trojaner, den sich Besucher dieser infizierten Websites einfangen können, leitet die Websurfer auf eine gefälschte Antivirenseite um, die vorgibt ein »Windows Stability Center« von Microsoft anzubieten.

Das heruntergeladene Programm werde von vielen Antivirenprogrammen bereits als Schädling erkannt, schrieb WebSense gestern, mehr als die Hälfte der AV-Programme seien aber offenbar noch nicht so weit, die Bedrohung zu erkennen.

Wer den Trojaner schon heruntergeladen hat, erhält allerlei Meldungen zu angeblich gefundenen Problemen auf dem PC. Um diese zu beseitigen müsse man nur die Vollversion herunterladen – ein klassisches Verfahren der Cyberkriminellen.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen