Hacker mal wieder ;)

Eine Analyse des Sicherheitsunternehmens Marshal zeigt auf, dass die Hackerszene in diesem Bereich recht übersichtlich aufgegliedert ist. 85% aller unerwünschter Werbemails entstammen dabei lediglich sechs Botnets. Das Srizbi-Botnet wurde dabei als die schlimmste Schleuder von Junkmails ausgemacht. 39% aller Werbemails kommen von dort, knapp gefolgt vom Rustock-Botnet mit einem Anteil von 21%. Auch wurde bei der Analyse festgestellt, dass einige der Konkurrenten bei der Verteilung ihrer Botschaften durchaus zusammenarbeiten.

Das Mega-D Botnet schickte an seine Opfer Anfang Februar noch die meisten E-Mails aus. Die Flut konnte Mitte des Monats eingedämmt werden, nachdem man für kurze Zeit die Kontrolle über die Server erhielt, die die rund 35.000 Zombiecomputer in aller Welt kontrollieren. Alle infizierten PCs waren zuvor zum Zweck der totalen Kontrolle mit dem Ozdok Trojaner verseucht worden. Auch die Hintermänner vom Spam-D Netzwerk mit einem Anteil von 11 Prozent hatten für zehn Tage die Kontrolle über ihre Server verloren. Weitere Kandidaten auf der Liste von Marshal sind die Hacktool.Spammer, auch Spam-Mailer genannt, die die Zielrechner mit der Pushdo-Malware kompromitiert haben. Das berüchtigte Storm Botnet mit 85.000 infizierten Hosts kommt auf einen Anteil von lediglich drei Prozent.

Offensichtlich arbeiten die Hacker der unterschiedlichen Netzwerke dabei zusammen. Marshal beobachtete, dass unterschiedliche Quellen die gleichen E-Mails ausgesendet haben, in diesem Fall waren es Werbebotschaften für potenzsteigernde Mittel auf pflanzlicher Basis. Grundsätzlich errechnet sich der Anteil eines jeden Netzwerkes aufgrund der Anzahl der kontrollierten Hosts und die Menge der ausgeschickten Junkmails. Die USA liegen als Quelle für Junkmails statistisch gesehen noch immer ungeschlagen auf Platz eins. Das Unternehmen Network Box errechnete einen Anteil von 13% aller verteilten Viren und 15% aller Junkmails. Der Anteil der Türkei macht im Vergleich weniger als die Hälfte aus.

Auch wenn sich die verschiedenen Netze recht übersichtlich aufgliedern, gibt es noch immer keine erfolgsversprechende Stategie für dessen Bekämpfung. Die Statistiken, die von unterschiedlichen Firmen erstellt werden, mögen interessant sein. Aber sie können dieses kostenintensive wie nervige Phänomen alleine nicht eindämmen.

iFrames manipulieren Suchergebnis-Seiten und linken auf illegale Inhalte

Die Suchfunktionen von ZDNet Asia und TorrentReactor wurden mißbraucht, um Malware und Trojaner über die Suche von Google zu verbreiten. Obwohl das Problem bereits erkannt ist, verbreiten sich die iFrame-Hacks auch auf anderen Webseiten. Zum technischen Hintergrund: Webseiten wie ZDnet Asia und speichern zur Leistungs- und Suchmaschinen-Optimierung die Suchergebnisseiten von populären Keywords lokal ab. Google und andere Suchmaschinen indizieren nun diese temporären Seiten und verlinken direkt auf sie. Der Malware-Hack hat sich dieses Prinzip zunutze gemacht, um über iFrame auf eigenen Seiten zu verlinken, da der Browser das iFrame als html interpretiert.

In Kombination mit Keywords wird der iFrame-Tag in der Suchfunktion auf den betroffenen Seiten eingegeben. Klickt der Nutzer nun über Google auf den Link, wird er automatisch auf eine andere Seite umgeleitet, die sich mutmaßlich als Business-Website für Anti-Spyware Produkte ausgibt. In einigen der Dateien dort verbirgt sich der Trojaner Zlob, der sich im Windows System einnistet und unbemerkt Dateien lädt und Suchergebnisseiten des Internet Explorers manipuliert.

Zum gegenwärtigen Zeitpunkt scheint sich der iFrame-Hack weiter zu verbreiten, obwohl zumindest bei ZDnet Asia Schritte eingeleitet wurden iFrames aus den Suchergebnisseiten filtern. Warum nicht standardmäßig schon im Vorfeld alle Tags aus des Keywords gefiltert wurden ist schwer nachvollziehbar. Schon sind wieder andere Webseiten betroffen, vor allem auf dem CNET-Network, namentlich tv.com, news.com und mysimon.com. Auch tickert die Indizierung bereits betroffener Seiten bei den Suchmaschinen munter weiter. Etwa 51.000 Seiten mit iFrame Hack sollen derzeitig via Google auf ZDnet Asia zu finden sein.