Drive-by-Download beim Hamburger Abendblatt

2. Februar 2009 Kategorien:

Diese Meldung bei Heise hat mich veranlasst, erstmalig die Präsenz des Hamburger Abendblatts aufzurufen. Demnach wurde die Seite des Blattes mit Schadcode infiziert, der von einem externen Server nachgeladen wird und eine veraltete Installation des Internet Explorers übertölpeln kann. Also ein klassischer Drive-By-Download.
Man kann ja über Virenscanner sagen was man will, aber in diesem Fall hat meiner direkt angeschlagen :)

Screenshot Abendlatt mit Antiivr

Screenshot Abendblatt mit Antivr

Nach kurzer Analyse war das böse Script identifiziert. Ein Ad-Banner, dem der Angreifer den Code zum Nachladen des externen Scripts untergejubelt hat

Quelltext des infizierten Ad-Banners

Quelltext des infizierten Ad-Banners


Die Seite selbst kennt Google schon als böse und zeigt dies bei einem Direktaufruf im Firefox auch so an.
Warnung vor der Seite

Warnung vor der Seite

Faszinierend ist die “Leistung” des Abendblatts: Um 17.20 Uhr wurde der Artikel auf heise.de veröffentlicht. Da bereits eine Stellungnahme (“(..) arbeiten an der Beseitigung des Problems.”) vorlag, sollten die Betreiber der Seite seit nunmehr mindestens 2 Stunden an der Beseitigung der 55 Zeichen im infizierten Script arbeiten. Bisher ohne Erfolg.
Neber der unglaublich langsamen Reaktion darf man gespannt sein, ob die Ursache der Infektion zeitnah oder gar überhaupt nicht aufgespührt wird. Immerhin muss der Angreifer Schreibrechte auf die Datei erhalten haben.

/gt

  1. 3 Trackback(s)

  2. Feb 3, 2009: Fehler im System

Einen Kommentar schreiben