Sicherheitsexperten warnen

Weitere SQL-Injection-Angriffe mit Fast Flux Hosting

Das SANS Internet Storm Center hat eine Analyse von SQL-Einspeisungen mit so genanntem Fast Flux Hosting zur Verfügung gestellt.

Angriffe via SQL-Einspeisungen sind derzeit in Mode. Es sind weitere Fast-Flux-Domänen aufgetaucht, die auf andere Seiten weiterleiten, die wiederum auf falsche AV-Webseiten mit dem Schadcode verweisen. Interessant an den Neuentdeckungen sei, dass sie offenbar keine bekannten Exploits ausnutzen. Stattdessen versuchen sie den Anwender zu überzeugen, dass er die schädliche Software selbst installieren soll. Einige der mit JavaScript injizierten Domänen sind: hxxp://updatead.com, hxxp://upgradead.com, hxxp://clsiduser.com, hxxp://dbdomaine.com (aus Sicherheitsgründen wurde http mit hxxp ausgetauscht). Das Script b.js leite danach auf weitere Domänen um, die CGI-Scripts beherbergen: hxxp://kadport.com/cgi-bin/indes.cgi?ad, hxxp://hdadwcd.com/cgi-bin/index.cgi?ad. Diese Seiten versuchen, Benutzern die Dringlichkeit der Datei installer.exe darzulegen, welche natürlich den Schadcode beinhaltet.

Nur 24 von 33 Virenscannern aus Virustotal erkennen die Malware derzeit. Eine Liste mit infizierten Domänen finden Sie hier. Diese kann für Administratoren nützlich sein, die vorsorglich Filter einrichten möchten. Die Warnung im Original finden Sie bei SANS. (jdo)