Update: wetter.com verteilte Malware

16. Mai 2012
Update am 21. Mai

Achtung vor Drive-by-Downloads von wetter.com in den vergangenen Tagen.

Aufgrund der Beliebtheit der Webseite - geschätzte 10% der PCs einer größeren Organisation surften die Seite wetter.com im Zeitraum 14.5.-15.5. an - haben wir uns entschlossen, folgende Warnung herauszugeben.

Beschreibung

Wie heise.de berichtet hat, ist über eine Lücke der OpenX Werbebanner Software auf der Webseite www.wetter.com zuletzt am 15.5.2012 Schadsoftware verteilt worden. Der genaue Anfangszeitpunkt ist uns nicht bekannt. Eine Stellungnahme von wetter.com bezüglich des tatsächlichen Anfangszeitpunktes steht noch aus.

Soweit uns bekannt ist, wurde Besuchern der Seite, die keine Adblock Software installiert hatten unter Umständen ohne ihr Wissen Schadsoftware installiert. CERT.at ist bekannt, dass es verschiedene Varianten von Schadsoftware gab, eine davon ist ein "fake-BKA Trojaner".

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Potentiell betroffen waren Rechner, welche die Seite im relevanten Zeitraum angesurft hatten und die
  • keinen AdBlocker (bzw. NoScript) installiert hatten und
  • Browser verwendet haben, die nicht das Safe-Browsing-API nutzen

Empfehlungen

Für Systemadministratoren

CERT.at empfiehlt, daß Systemadministratoren ihre Proxy-Logs beziehungsweise Firewall-Logs ansehen, um festzustellen, welche PCs im relevanten Zeitraum die Seite www.wetter.com angesurft haben. Anschließend könnte es sich auszahlen, diese PCs mit aktuellester Antivirensoftware zu scannen beziehungsweise deren Aktivitäten unter genauerere Beobachtung zu stellen.

Update:
Wie wir mittlerweile erfahren haben, wurden (beim Browsen von wetter.com) attackierte Clients auf die Domains
  • futurela.info
  • votofak.ru
weitergeleitet. Beide Domains lösten zum jeweils relevanten Zeitpunkt auf die IP-Adresse 85.17.122.246 auf.

Laut Passive-DNS scheint diese IP-Adresse auch noch mit anderen uns bislang in der Causa wetter.com unbekannten Domains in Verbindung gestanden zu sein.
Hier die gesamte Liste inklusive der beiden oben genannten:
  • botsdarehere.com
  • newadultgamers.com
  • futurela.info
  • medppc.info
  • metaafe.info
  • openx-google.info
  • ads-com.info
  • billabon.info
  • advertingresolution.info
  • osnovoispanio.info
  • ads-yahoo.info
  • openx-master.info
  • advertmasters.info
  • openxmasters.info
  • ads-net.info
  • master-openx.info
  • youropenx.info
  • hisopenx.info
  • freeuseonly.info
  • moneyonly.info
  • blackdomaingood.net
  • trafficcompanygood.net
  • usforsale.ru
  • euforsale.ru
  • money-moneyblog.ru
  • votofak.ru
Entsprechende Suchen in Logs sollten sich mit diesen Informationen gezielter bewerkstelligen lassen.

Anmerkung: Ob und inwiefern auch noch andere Domains/IP-Adressen beteiligt waren, ist bislang unbekannt.

Für Endbenutzer

Wir raten dazu, den eigenen PC mit Antiviren Software zu scannen beziehungsweise sogar mit offline Antivirus Software (von CD bootbar) zu überprüfen.

Hinweise

Bei Unternehmen mit mehreren PCs empfiehlt es sich, Proxy-Logs oder Firewall-Logs für den Fall bereit zu haben.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Weiterhin Virenalarm auf Wetter.com
http://www.heise.de/security/meldung/Weiterhin-Virenalarm-auf-Wetter-com-1576132.html